Informativa sul trattamento dei dati personali (art. 13 GDPR) — PUBBLIQA
Versione 0.4 — bozza — 6 giugno 2026 — DA VALIDARE DA LEGALE ABILITATO
Bozza norm-grounded. Deve essere rivista e validata da un avvocato italiano abilitato prima della pubblicazione. Le citazioni servono alla verifica rapida. Un cambiamento sostanziale fa ripartire l'informativa verso gli interessati.
Novità v0.4: architettura interamente UE su OVHcloud (Francia). Sub-responsabile unico = OVHcloud (UE) per hosting/compute/database/storage oggetti/elaborazioni AI/invio e-mail (§7). Nessun trasferimento di dati personali verso Paesi terzi: §8 riscritto e rimossi tutti i riferimenti a EU-US DPF, SCC, TIA e provider USA. Changelog in calce.
Questa informativa è resa ai sensi dell'art. 13 del Regolamento (UE) 2016/679 (GDPR) dal Fornitore, in qualità di titolare del trattamento, alle persone fisiche i cui dati sono raccolti direttamente presso di loro nell'ambito del servizio PUBBLIQA™, e cioè:
- gli Utenti che creano un account e utilizzano la Piattaforma (dati di registrazione e d'uso);
- le persone fisiche che contattano il Fornitore o richiedono una demo (dati di contatto commerciale).
Perimetro dell'informativa e ruoli (importante). Questa informativa copre soltanto i trattamenti per i quali il Fornitore è titolare (cfr. §3). Non copre, invece, i dati personali di terzi (referenti, rappresentanti, firmatari) contenuti nei documenti caricati dal Cliente:
- in Cloud Gestito, rispetto a tali dati-contenuto il Fornitore agisce come responsabile del trattamento (art. 28 GDPR) e il Cliente è titolare; di conseguenza l'informativa a quei soggetti, anche ai sensi dell'art. 14 GDPR (dati non raccolti presso l'interessato), spetta al Cliente-titolare, non al Fornitore;
- in On-Premise, il software gira sull'infrastruttura del Cliente e il Fornitore non tratta i Contenuti del Cliente: titolare è il Cliente (cfr. §2.2).
Per i dati personali di terzi raccolti direttamente dal Fornitore tramite scansione di fonti pubblicamente accessibili (registro imprese, ANAC) — per i quali il Fornitore è titolare — è resa una separata informativa ex art. 14 GDPR (cfr.
informativa-registro-imprese-art14.md).
1. Titolare del trattamento
A.Z. Impianti S.r.l. Sede legale: Via Civitavecchia 38/A, 07100 Sassari (SS) P.IVA / C.F.: 02994000905 — REA: SS-221336 PEC: azsrlimpianti@pec.it Contatto per la privacy: info@pubbliqa.it
Responsabile della protezione dei dati (DPO): il Fornitore non ha nominato un DPO. [DA CONFERMARE: valutare se la nomina del DPO è obbligatoria ai sensi dell'art. 37 GDPR, tenuto conto del monitoraggio sistematico e del trattamento di dati su larga scala connessi alla Piattaforma — verifica da effettuare in sede di DPIA. Se nominato, inserire qui i dati di contatto.]
2. Ambito di applicazione: Cloud Gestito vs On-Premise
2.1. Modalità Cloud Gestito
La Piattaforma è ospitata su infrastruttura gestita dal Fornitore (multi-tenant, con separazione logica dei dati per Cliente). Riguardo ai dati personali contenuti nei documenti caricati dal Cliente:
- Titolare: il Cliente.
- Responsabile del trattamento (art. 28 GDPR): il Fornitore, che tratta tali dati solo su istruzione del Cliente e nei limiti necessari a erogare il Servizio, secondo l'Accordo sul Trattamento dei Dati (DPA) (cfr.
dpa.md). Il Fornitore si avvale del sub-responsabile indicato al §7 (OVHcloud, UE). Tutti i trattamenti e il sub-responsabile sono localizzati nell'Unione Europea: non vi sono trasferimenti di dati personali verso Paesi terzi (§8).
2.2. Modalità On-Premise
Il software è installato ed eseguito sull'infrastruttura del Cliente; i Contenuti del Cliente non transitano né risiedono presso il Fornitore. In questa modalità:
- Titolare dei dati gestiti tramite la propria istanza è il Cliente, che governa autonomamente infrastruttura, sicurezza e conservazione. Poiché il Fornitore, di regola, non tratta tali dati, non vi è un responsabile del trattamento ai sensi dell'art. 28 GDPR (i ruoli di titolare e responsabile, definiti dall'art. 4, punti 7 e 8, GDPR, sono distinti e non cumulabili in capo allo stesso soggetto per il medesimo trattamento).
- Il Fornitore tratta pochi o nessun dato personale del Cliente, salvo i dati di gestione del rapporto contrattuale (§3) e gli eventuali dati cui acceda per attività di supporto/manutenzione espressamente pattuite — nel qual caso le Parti stipulano un atto ai sensi dell'art. 28 GDPR.
Le sezioni §4-§8 che seguono riguardano principalmente la modalità Cloud Gestito e i trattamenti per cui il Fornitore è titolare (§3). In On-Premise i trattamenti operati dal Fornitore sono limitati come sopra indicato.
3. Dati trattati dal Fornitore come titolare (account, contratto, sito)
| Categoria di dati | Esempi | Provenienza |
|---|---|---|
| Dati di registrazione e account | nome, cognome, e-mail aziendale, ruolo, credenziali | forniti dall'Utente/Cliente |
| Dati del Cliente (persona giuridica) e referenti | ragione sociale, P.IVA, dati del referente contrattuale | forniti dal Cliente |
| Dati di utilizzo e log tecnici | indirizzo IP, data/ora di accesso, eventi applicativi, identificativi di sessione | raccolti automaticamente |
| Dati di accettazione contrattuale | versione dei documenti accettati, data/ora, IP, doppia spunta (cfr. Condizioni Generali, art. 18) | raccolti automaticamente |
| Dati di contatto commerciale | dati inviati tramite il form "Richiedi una demo" | forniti dall'interessato |
| Cookie tecnici | cfr. Cookie Policy (cookie-policy.md) | raccolti automaticamente |
4. Finalità e basi giuridiche
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogazione del Servizio e gestione dell'account | esecuzione del contratto — art. 6.1.b |
| Gestione amministrativa, fatturazione, adempimenti contabili e fiscali | obbligo legale — art. 6.1.c |
| Sicurezza della Piattaforma, prevenzione abusi, log tecnici | legittimo interesse — art. 6.1.f |
| Conservazione della prova dell'accettazione contrattuale | esecuzione del contratto e legittimo interesse alla prova — art. 6.1.b/f |
| Riscontro alle richieste di contatto/demo | misure precontrattuali su richiesta dell'interessato — art. 6.1.b |
| Difesa di un diritto in sede giudiziaria | legittimo interesse — art. 6.1.f |
Per i trattamenti basati sul legittimo interesse (art. 6.1.f), il Fornitore ha effettuato (o effettuerà) la valutazione di bilanciamento (LIA) richiesta dall'EDPB; l'interessato può ottenerne sintesi e può opporsi ai sensi dell'art. 21 GDPR. [DA CONFERMARE: completamento della LIA]
5. Trattamento dei dati contenuti nei documenti caricati (Cloud Gestito)
In modalità Cloud Gestito, i documenti caricati dal Cliente possono contenere dati personali di terzi (referenti, rappresentanti, firmatari). Rispetto a tali dati il Fornitore agisce come responsabile (art. 28) e li tratta esclusivamente per le funzioni richieste dal Cliente: analisi della gara, classificazione documentale, auto-compilazione, predisposizione di offerta tecnica/avvalimento/RTI. Le funzioni di analisi e generazione comportano l'elaborazione del testo tramite i servizi di intelligenza artificiale del sub-responsabile OVHcloud, eseguiti su infrastruttura nell'Unione Europea (§7): i dati non lasciano l'UE e non sono utilizzati per addestrare modelli, secondo quanto descritto nell'Informativa AI (informativa-ai.md).
Punto fermo (da preservare): il punteggio di affinità è calcolato solo tra azienda e gara, mai su persone fisiche; nessuna funzione AI effettua profilazione o valutazione automatizzata di persone fisiche.
6. Categorie particolari di dati
La Piattaforma non è destinata al trattamento di categorie particolari di dati (art. 9 GDPR). Il Cliente si impegna a non caricare tali dati salvo necessità e adeguata base giuridica di propria competenza. [DA VERIFICARE: se i documenti di gara possano contenere, in casi specifici, dati relativi a condanne penali ex art. 10 GDPR (es. dichiarazioni sui requisiti generali, casellario) — in tal caso definire le cautele specifiche nel DPA e nella DPIA]
7. Sub-responsabili e altri destinatari (Cloud Gestito)
In modalità Cloud Gestito il Fornitore si avvale di un unico sub-responsabile, ai sensi dell'art. 28, par. 2 e 4, GDPR:
| Sub-responsabile | Servizi | Luogo del trattamento | Garanzia trasferimenti |
|---|---|---|---|
| OVHcloud (OVH SAS, società di diritto francese) | hosting/compute, database, storage oggetti, elaborazioni di intelligenza artificiale (servizi AI gestiti), invio e-mail (SMTP) | Unione Europea (Francia) | non applicabile — nessun trasferimento extra-UE (cfr. §8) |
L'intera infrastruttura del Servizio e tutte le elaborazioni, comprese quelle di intelligenza artificiale e l'invio delle e-mail, sono erogate da OVHcloud su data center situati nell'Unione Europea. L'elenco aggiornato dei sub-responsabili, con indicazione di entità, servizio e luogo del trattamento, è contenuto nel documento Elenco sub-responsabili (cfr. sub-responsabili.md) e richiamato dal DPA. Il Cliente è informato di ogni modifica dell'elenco con congruo preavviso e può opporsi per giustificati motivi, secondo il DPA.
I dati possono inoltre essere comunicati a consulenti, professionisti e autorità nei limiti di legge.
8. Trasferimenti verso Paesi terzi (Cloud Gestito)
Non vi sono trasferimenti di dati personali verso Paesi terzi. Il titolare ha sede nell'Unione Europea e l'unico sub-responsabile (OVHcloud, §7) tratta i dati esclusivamente su data center situati nell'Unione Europea. Non si verifica quindi alcuna messa a disposizione di dati personali a un soggetto importatore stabilito in un Paese terzo.
Di conseguenza non si applica il Capo V del GDPR (artt. 44-46): manca uno dei tre criteri cumulativi che, secondo le Linee guida EDPB 05/2021 (v2.0, adottate il 14 febbraio 2023), qualificano un'operazione come «trasferimento» soggetto al Capo V, ossia che l'importatore sia stabilito in un Paese terzo. Coerentemente, l'art. 44 GDPR àncora gli obblighi del Capo V alla sola ipotesi del trasferimento «verso un paese terzo o un'organizzazione internazionale». Non sono pertanto necessarie decisioni di adeguatezza, Clausole Contrattuali Tipo (SCC), né valutazioni d'impatto del trasferimento (TIA).
In modalità On-Premise il Fornitore, di regola, non tratta i Contenuti del Cliente e non opera trasferimenti.
9. Periodi di conservazione
I dati sono conservati per il tempo necessario alle finalità e secondo i termini di legge:
| Dato | Conservazione |
|---|---|
| Dati di account | per la durata del rapporto; cancellazione/anonimizzazione decorso [DA CONFERMARE] dalla cessazione |
| Contenuti del Cliente (Cloud Gestito) | per la durata del rapporto; alla cessazione esportabili su richiesta entro 30 giorni (formato strutturato di uso comune) e cancellati dai sistemi attivi entro 60 giorni dalla cessazione (cfr. Condizioni Generali, art. 10.3), salvi gli obblighi di conservazione di legge. I backup sono sovrascritti nel normale ciclo di rotazione |
| Dati contabili/fiscali | 10 anni (art. 2220 c.c.; normativa tributaria) |
| Prova dell'accettazione contrattuale | per la durata del rapporto e, dopo la cessazione, per il termine di prescrizione ordinario decennale dei diritti (art. 2946 c.c.) — 10 anni |
| Log tecnici/di sicurezza | [DA CONFERMARE: periodo, es. 6/12 mesi] |
| Dati di contatto demo non convertiti | [DA CONFERMARE] |
[DA CONFERMARE: definizione completa del piano di conservazione per categoria — restano da fissare i periodi per dati di account post-cessazione, log tecnici/di sicurezza e contatti demo non convertiti]
10. Diritti dell'interessato
L'interessato può esercitare i diritti previsti dagli artt. 15-22 GDPR: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione (art. 21, per i trattamenti basati sul legittimo interesse). Inoltre, per i trattamenti eventualmente basati sul consenso (ad es. taluni cookie o l'invio del form "Richiedi una demo", ove fondati sul consenso), l'interessato ha il diritto di revocare il consenso in qualsiasi momento, ai sensi degli artt. 7, par. 3, e 13, par. 2, lett. c), GDPR, senza che ciò pregiudichi la liceità del trattamento effettuato prima della revoca. Le richieste possono essere inviate a info@pubbliqa.it. Per i dati trattati in Cloud Gestito come responsabile, il Fornitore assiste il Cliente-titolare nel dare riscontro e, ove la richiesta gli pervenga direttamente, la indirizza al Cliente competente.
L'interessato ha inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
11. Natura del conferimento
Il conferimento dei dati di account e contrattuali è necessario per la fruizione del Servizio; il rifiuto impedisce l'attivazione o la prosecuzione del rapporto.
12. Processi decisionali automatizzati
Il Fornitore non adotta processi decisionali automatizzati che producano effetti giuridici o significativi sulle persone fisiche ai sensi dell'art. 22 GDPR. Le Funzioni AI producono bozze soggette a revisione umana e il punteggio di affinità riguarda esclusivamente la relazione azienda↔gara (cfr. §5).
13. Aggiornamenti
La presente informativa può essere aggiornata; la versione vigente è pubblicata sulle pagine del Servizio con la relativa data.
Avvertenza finale
Bozza (v0.4) norm-grounded, non parere legale. Da validare da un avvocato italiano abilitato prima della pubblicazione. Riferimenti verificati su fonte ufficiale: GDPR artt. 4 (punti 7-8), 6, 7, 9-10, 13 (incl. par. 2 lett. c), 14, 15-22, 28, 30, 37, 44 e Capo V (titolo «Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali»); Linee guida EDPB 05/2021 v2.0 del 14.2.2023 (interazione tra art. 3 e Capo V — tre criteri cumulativi della nozione di «trasferimento»); artt. 2220 e 2946 c.c.
Changelog
- v0.4 (06.06.2026) — Architettura interamente UE su OVHcloud. §2.1: il rinvio a «trasferimenti verso Paesi terzi» è sostituito dalla dichiarazione che tutti i trattamenti e il sub-responsabile sono nell'UE. §5: l'elaborazione AI è riferita ai servizi AI di OVHcloud su infrastruttura UE (dati non escono dall'UE, nessun addestramento). §7 riscritto: sub-responsabile unico = OVHcloud (OVH SAS, Francia) per hosting/compute/database/storage oggetti/elaborazioni AI/invio e-mail SMTP — tabella entità/servizi/luogo/garanzia; rimosse le categorie generiche e i provider USA (Anthropic, Google). §8 riscritto: nessun trasferimento verso Paesi terzi, non si applica il Capo V GDPR (artt. 44-46), motivato sui tre criteri cumulativi delle Linee guida EDPB 05/2021 (manca l'importatore in Paese terzo) e sull'art. 44; rimossi EU-US DPF (Dec. 2023/1795), SCC (Dec. 2021/914), TIA e la sentenza Latombe (T-553/23) / appello C-703/25 P. Risolti i
[DA CONFERMARE]su elenco sub-responsabili e base di trasferimento. Aggiornati riferimenti e avvertenza finale. - v0.3 (20.05.2026) — Contatto privacy impostato su info@pubbliqa.it (§1 e §10). Allineati i periodi di conservazione alle Condizioni Generali (§9): Contenuti del Cliente esportabili su richiesta entro 30 gg e cancellati entro 60 gg dalla cessazione, backup sovrascritti a rotazione; prova dell'accettazione contrattuale conservata 10 anni (prescrizione ordinaria, art. 2946 c.c.). Restano aperti i periodi per dati di account post-cessazione, log tecnici/di sicurezza e contatti demo non convertiti.
- v0.2 (02.05.2026) — Versione iniziale norm-grounded: ruoli titolare/responsabile, distinzione Cloud/On-Premise, basi giuridiche, sub-responsabili e trasferimenti extra-UE.