Salta al contenuto principale

Privacy Policy

Ultimo aggiornamento: 01/06/2026

1. Introduzione

La presente Privacy Policy descrive come Pubblica Assistenza Carrara e sezioni ODV (di seguito "noi", "nostro" o "l'Organizzazione") raccoglie, utilizza, conserva e protegge i dati personali degli utenti della piattaforma di gestione volontari (di seguito "Piattaforma" o "Servizio"), in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR - Regolamento UE 2016/679) e la normativa italiana applicabile.

2. Titolare del Trattamento

Pubblica Assistenza Carrara ODV

Via Roma 23, 54033 Carrara (MS)

Codice Fiscale: 00175620459

PEC: pacarrara@pec.it

3. Responsabile della Protezione dei Dati (DPO)

Cucurnia Samuele

Email: dpo@pacarrara.it

Telefono: 392 4680444

Il DPO è a disposizione per rispondere a qualsiasi domanda relativa al trattamento dei dati personali e all'esercizio dei diritti previsti dal GDPR.

4. Dati Personali Raccolti

Raccogliamo e trattiamo le seguenti categorie di dati personali:

4.1 Dati Identificativi

  • Nome e cognome
  • Codice fiscale
  • Data e luogo di nascita
  • Indirizzo di residenza
  • Email e numero di telefono

4.2 Dati di Accesso

  • Username e password (criptata con bcrypt)
  • Credenziali WebAuthn (passkey): identificatore pubblico della chiave, dati di attestazione del dispositivo, contatore di utilizzo — nessun dato biometrico viene trasmesso o conservato sui server
  • Ruolo e permessi assegnati
  • Log di accesso e attività sulla piattaforma
  • Token di sessione persistente per l'app PWA (conservato localmente sul dispositivo)

4.3 Dati Relativi all'Attività di Volontariato

  • Qualifiche e mansioni
  • Disponibilità e turni assegnati
  • Ore di servizio e reperibilità
  • Checklist e compilazioni
  • Segnalazioni e ticket

4.4 Dati di Geolocalizzazione e Timbrature

Per i dipendenti abilitati al sistema di rilevazione presenze, previo consenso esplicito (Art. 7 GDPR):

  • Coordinate GPS al momento della timbratura (latitudine, longitudine, accuratezza)
  • Timestamp della rilevazione GPS
  • Distanza dalla sede di riferimento e verifica geofence
  • Tipo di timbratura (entrata, uscita, pausa inizio, pausa fine)
  • Informazioni dispositivo (sistema operativo, user agent)
  • Indirizzo IP al momento della timbratura
  • Eventuale rilevazione mock location

Nota sulla conservazione GPS: Le coordinate GPS grezze vengono anonimizzate automaticamente dopo 90 giorni dalla registrazione. Vengono conservati solo i dati aggregati (distanza dalla sede, stato geofence) per il periodo richiesto dalla normativa sul lavoro.

4.5 Dati di Formazione

  • Iscrizioni a eventi formativi e stato di partecipazione
  • Certificazioni conseguite e relative scadenze
  • Ore di formazione frequentate e valutazioni
  • Abilitazioni come istruttore

4.6 Dati di Navigazione

  • Indirizzo IP
  • Browser e sistema operativo
  • Data e ora di accesso
  • Pagine visitate

4.7 Dati di Autenticazione Biometrica (WebAuthn / Passkey)

Se l'utente sceglie di abilitare l'autenticazione biometrica (impronta digitale, riconoscimento facciale o PIN dispositivo), vengono trattati esclusivamente:

  • Identificatore pubblico della credenziale WebAuthn (credential ID)
  • Chiave pubblica del dispositivo (la chiave privata non lascia mai il dispositivo dell'utente)
  • Contatore di utilizzo della credenziale (per prevenire attacchi di replay)
  • Tipo di autenticatore (piattaforma o roaming)
  • Data di registrazione e ultimo utilizzo della passkey

Importante: L'autenticazione biometrica è opzionale e basata sullo standard WebAuthn (FIDO2). I dati biometrici (impronta, volto) vengono elaborati esclusivamente sul dispositivo dell'utentedal sistema operativo e non vengono mai trasmessi né conservati sui nostri server. L'abilitazione o la revoca delle passkey è gestibile in qualsiasi momento dalle impostazioni dell'account.

5. Finalità del Trattamento

I dati personali sono trattati per le seguenti finalità:

5.1 Gestione dei Volontari

Organizzazione e coordinamento delle attività di volontariato, assegnazione turni, gestione disponibilità.

Base giuridica: Esecuzione di un contratto o di misure precontrattuali (Art. 6(1)(b) GDPR)

5.2 Adempimenti Normativi

Rispetto degli obblighi di legge in materia di sicurezza sul lavoro, formazione obbligatoria, rendicontazione.

Base giuridica: Obbligo legale (Art. 6(1)(c) GDPR)

5.3 Comunicazioni di Servizio

Invio di notifiche, avvisi e comunicazioni relative all'attività di volontariato.

Base giuridica: Legittimo interesse (Art. 6(1)(f) GDPR)

5.4 Rilevazione Presenze e Geolocalizzazione

Registrazione delle timbrature con verifica della posizione per i dipendenti abilitati. Il trattamento dei dati GPS avviene solo previo consenso esplicito dell'interessato.

Base giuridica: Consenso esplicito (Art. 6(1)(a) e Art. 7 GDPR) combinato con obbligo legale per la rilevazione presenze (Art. 6(1)(c) GDPR - D.Lgs. 66/2003). Conforme all'Art. 4 L. 300/1970 (Statuto dei Lavoratori).

5.5 Sicurezza della Piattaforma

Prevenzione di accessi non autorizzati, monitoraggio delle attività per la sicurezza informatica.

Base giuridica: Legittimo interesse (Art. 6(1)(f) GDPR)

5.5 Miglioramento del Servizio

Analisi anonimizzate per ottimizzare le funzionalità della piattaforma.

Base giuridica: Legittimo interesse (Art. 6(1)(f) GDPR)

5.6 Autenticazione Biometrica (WebAuthn)

Registrazione e verifica delle credenziali WebAuthn (passkey) per consentire un accesso sicuro tramite autenticazione biometrica o PIN dispositivo, in alternativa alla password tradizionale.

Base giuridica: Consenso esplicito dell'interessato (Art. 6(1)(a) GDPR) — l'attivazione della passkey è volontaria e revocabile in qualsiasi momento.

6. Tempi di Conservazione

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti:

  • Dati dei volontari/dipendenti attivi: Per tutta la durata del rapporto e fino a 10 anni successivi alla cessazione per adempimenti fiscali e contabili
  • Coordinate GPS grezze: 90 giorni dalla registrazione, poi anonimizzate automaticamente
  • Dati aggregati timbrature: 5 anni (obbligo conservazione documentale lavoro)
  • Log di accesso e audit: Fino a 24 mesi dalla registrazione
  • Audit log presenze (blockchain): 12 mesi, con checksum crittografico per integrità
  • Dati per finalità di sicurezza: Fino a 12 mesi
  • Dati di registrazione non completata: Fino a 30 giorni dalla creazione
  • Backup: 30 giorni con rotazione automatica

7. Condivisione dei Dati e Responsabili del Trattamento (Art. 28 GDPR)

I dati personali possono essere comunicati a:

  • Personale autorizzato: Responsabili e amministratori dell'Organizzazione per le finalità di gestione
  • Autorità competenti: In caso di richieste legittime da parte di forze dell'ordine o autorità giudiziarie

I dati non vengono ceduti a terzi per finalità commerciali o di marketing.

Responsabili esterni del trattamento (sub-processor)

Ai sensi dell'Art. 28 GDPR, il sistema si avvale dei seguenti responsabili del trattamento, con i quali è stato stipulato o è disponibile un accordo DPA:

Sub-processorDati trattatiFinalitàPaese
Provider SMTP
(es. Gmail, SMTP aziendale)		Email address, nomeNotifiche di sistema (reset password, reminder turni)IT/EU o USA (SCC)
Google Drive
(solo se abilitato)		PDF checklist, email compilatoreArchiviazione automatica checklist operativeUSA (Google Workspace DPA + SCC)
Provider VPS/HostingTutti i dati (su disco server)Infrastruttura computazionaleIT/EU (preferito)

I dati di timbratura (coordinate GPS, presenze, anagrafica) rimangono esclusivamente sui server dell'Organizzazione e non vengono trasferiti ai sub-processor.

8. Diritti degli Interessati

Ai sensi degli Articoli 15-22 del GDPR, gli utenti hanno diritto a:

Accesso: Ottenere conferma dell'esistenza di dati personali e riceverne copia

Rettifica: Correggere dati inesatti o incompleti

Cancellazione: Ottenere la cancellazione dei dati (diritto all'oblio)

Limitazione: Richiedere la limitazione del trattamento

Portabilità: Ricevere i dati in formato strutturato e trasmetterli ad altro titolare

Opposizione: Opporsi al trattamento per motivi legittimi

Revoca del consenso: Revocare il consenso prestato in qualsiasi momento

Reclamo: Proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali

Per esercitare i propri diritti, l'utente può contattare il DPO all'indirizzo dpo@pacarrara.it o tramite la sezione Privacy nelle impostazioni del proprio account.

9. Misure di Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali, tra cui:

  • Crittografia delle password tramite algoritmi sicuri (bcrypt)
  • Autenticazione a più fattori tramite WebAuthn/passkey (FIDO2): la chiave privata non lascia mai il dispositivo dell'utente
  • Connessioni HTTPS/TLS per tutte le comunicazioni (certificato Let's Encrypt con rinnovo automatico)
  • Controllo degli accessi basato su ruoli e permessi
  • Log di audit per tracciare le operazioni sensibili
  • Audit log presenze immutabile con checksum SHA-256 (blockchain-like)
  • Log degli accessi in lettura ai dati personali (tracciabilità GDPR Art. 15)
  • Rilevamento automatico anomalie timbrature (mock location, velocità sospetta)
  • Anonimizzazione automatica dati GPS dopo 90 giorni
  • Backup regolari dei dati con rotazione automatica
  • Monitoraggio continuo dello spazio disco e degli accessi con soglie di allarme
  • Formazione del personale sulla protezione dei dati

10. Cookie, Sessioni e Tecnologie Simili

La piattaforma utilizza cookie tecnici essenziali per il funzionamento del servizio (es. gestione della sessione di autenticazione). Non utilizziamo cookie di profilazione o pubblicitari.

Sessioni persistenti (App PWA)

Quando si utilizza la Piattaforma come Progressive Web App (PWA) installata sul dispositivo, un token di sessione crittografato viene conservato nella memoria locale del dispositivo (localStorage / IndexedDB) per mantenere l'accesso attivo tra una sessione e l'altra, senza necessità di reinserire le credenziali ad ogni apertura dell'app. Tale token:

  • Rimane sul dispositivo dell'utente e non viene condiviso con terzi
  • Ha una scadenza definita e viene rinnovato automaticamente ad ogni accesso
  • Può essere invalidato in qualsiasi momento effettuando il logout o revocando le sessioni attive dalle impostazioni dell'account

Credenziali WebAuthn locali

Le passkey registrate per l'accesso biometrico vengono gestite dall'autenticatore del sistema operativo (es. Touch ID, Face ID, Windows Hello). La Piattaforma conserva solo la chiave pubblica associata, mai dati biometrici.

Per maggiori informazioni sulla gestione dei cookie, consulta le impostazioni del tuo browser. Per gestire le sessioni attive e le passkey registrate, accedi alla sezione Privacy delle impostazioni del tuo account.

11. Trasferimenti Internazionali

I dati personali sono conservati su server ubicati nell'Unione Europea. Non vengono effettuati trasferimenti di dati verso paesi terzi al di fuori dello Spazio Economico Europeo (SEE).

12. Modifiche alla Privacy Policy

Ci riserviamo il diritto di modificare la presente Privacy Policy in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. Gli utenti saranno informati tramite notifica sulla piattaforma in caso di modifiche sostanziali.

13. Contatti

Per qualsiasi domanda o richiesta relativa alla presente Privacy Policy, è possibile contattare:

PEC Titolare: pacarrara@pec.it

DPO: dpo@pacarrara.it

Telefono DPO: 392 4680444

14. Autorità di Controllo

In caso di presunte violazioni della normativa sulla protezione dei dati personali, l'interessato può proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali:

Garante per la Protezione dei Dati Personali

Piazza Venezia 11, 00187 Roma

Centralino: +39 06 696771

Email: garante@gpdp.it

PEC: protocollo@pec.gpdp.it

Sito web: www.garanteprivacy.it

Documento redatto in conformità al Regolamento UE 2016/679 (GDPR) e al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018