Informativa sulla Privacy
Informativa resa ai sensi dell'articolo 13 del Regolamento UE 2016/679 (di seguito "GDPR") e del D.Lgs. 196/2003 (di seguito "Codice Privacy") agli utenti del gestionale online di UGL Federazione Nazionale Terziario.
1. Titolare del trattamento
Il Titolare del trattamento è UGL Federazione Nazionale Terziario, con sede legale in Viale Castrense 8, 00182 Roma (RM).
- Email: segreteria@uglterziario.it
- PEC: uglterziario@pec.it
- Telefono: 06 4820754 · Fax: 06 4820702
2. Responsabile del trattamento (fornitore IT)
Lo sviluppo, l'hosting e la manutenzione del gestionale sono affidati a MLP Studio S.r.l., con sede legale in Largo Messico 15, 00198 Roma.
- P. IVA / Codice Fiscale: 13354951009
- REA: RM-1440977
- PEC: mlpstudiosrls@legalmail.it
- Email: amministrazione@mlpstudio.it
- Telefono: +39 06 62289580 · Web: mlpstudio.it
MLP Studio S.r.l. opera come Responsabile del trattamento ai sensi dell'art. 28 GDPR, sulla base di apposito contratto che disciplina le misure tecniche e organizzative a protezione dei dati.
3. Flusso di trattamento e categorie di dati
Il gestionale è suddiviso in fasi, a ciascuna delle quali corrispondono specifiche categorie di dati.
3.1 Pre-iscrizione (inserimento da parte del segretario)
Il Segretario di competenza inserisce nel gestionale i tuoi dati a seguito del tuo esplicito interessamento all'iscrizione. I dati raccolti in questa fase includono:
- Anagrafici: nome, cognome, codice fiscale, data e luogo di nascita, provincia di nascita, sesso;
- Contatti: email, PEC, telefono, cellulare;
- Residenza: indirizzo, città, provincia, CAP;
- Domicilio (se diverso): indirizzo, città, provincia, CAP;
- Note operative inserite dal segretario (es. preferenze di contatto).
3.2 Firma digitale del consenso privacy
Ricevi via email un link con token monouso per firmare il consenso al trattamento. La firma è acquisita tramite canvas HTML5 ed è convertita in documento PDF. Vengono registrati:
- la firma grafometrica (immagine);
- la data e l'ora della firma;
- l'indirizzo IP e lo user-agent del browser da cui è stata effettuata;
- i consensi separati: privacy (obbligatorio), comunicazioni sindacali, comunicazioni a terzi.
3.3 Firma digitale della delega sindacale
Per formalizzare l'iscrizione al sindacato firmi una delega sindacale che raccoglie, oltre ai dati anagrafici già inseriti:
- Dati aziendali: ragione sociale, indirizzo, città, provincia, partita IVA, punto vendita, CCNL applicato;
- Dati contrattuali: qualifica, livello di inquadramento, part-time (Sì/No) e relativa percentuale;
- Federazione e provincia di iscrizione;
- Firma grafometrica, data, luogo della firma;
- un numero di protocollo univoco (formato
DEL-YYYY-NNNNN).
La delega firmata viene archiviata come PDF nello storage del gestionale e conservata come documento con valore probatorio.
3.4 Uso del gestionale (post-attivazione)
Dopo l'attivazione, il gestionale tratta i seguenti dati:
- Credenziali: email di accesso e password cifrata (bcrypt). La password può essere richiesta in cambio ogni 3 mesi.
- Accessi e attività: ogni accesso e ogni operazione critica (creazione/modifica/eliminazione di entità, invio comunicazioni, firme, download documenti) è registrata tramite activity log server-side per finalità di sicurezza, audit e accountability (art. 5 par. 2 GDPR).
- Comunicazioni sindacali: email inviate, stato di consegna (consegnata / fallita / letta, quando disponibile), destinatari, allegati.
- Formazione: iscrizioni ai corsi, progressi per lezione, secondi di visualizzazione, quiz svolti (domande, risposte date, punteggio, numero di tentativi), attestati di completamento.
- Modulistica / Formulario: dati anagrafici auto-compilati nei moduli PDF scaricati o compilati online.
- Preferenze d'uso: stato della sidebar, ricerche recenti (salvate in locale nel browser — vedi Cookie Policy).
4. Finalità e basi giuridiche
| Finalità | Base giuridica |
|---|---|
| Gestione iscrizione al sindacato, tesseramento e rapporto associativo | Art. 6 lett. b) e Art. 9 par. 2 lett. d) GDPR |
| Firma digitale grafometrica di consenso privacy e delega sindacale | Consenso esplicito dell'interessato |
| Invio di comunicazioni sindacali, convocazioni, modulistica | Esecuzione del rapporto associativo |
| Invio di comunicazioni non strettamente sindacali o a partner selezionati | Consenso separato e revocabile |
| Erogazione dei corsi di formazione, tracciamento progressi, rilascio attestati | Esecuzione del rapporto associativo |
| Adempimento obblighi fiscali, contabili e di legge | Art. 6 lett. c) GDPR |
| Sicurezza della piattaforma, prevenzione frodi, activity log | Legittimo interesse del Titolare (art. 6 lett. f) |
5. Modalità di trattamento e misure di sicurezza
Il trattamento avviene esclusivamente con strumenti informatici. Le misure adottate includono:
- connessione cifrata TLS/HTTPS;
- password utente salvate con hash bcrypt e policy di rotazione ogni 3 mesi;
- protezione contro attacchi CSRF con token per ogni form;
- profilazione dei permessi per ruolo e territorio: ogni utente accede solo ai dati del suo livello (Nazionale / Regionale / Provinciale / Iscritto);
- registrazione di accessi e operazioni critiche (activity log) per audit e sicurezza;
- backup periodici dei dati e delle firme digitali;
- separazione ambienti di sviluppo e produzione;
- verifica periodica delle vulnerabilità e code review di sicurezza.
6. Destinatari dei dati
I tuoi dati possono essere comunicati a:
- Personale autorizzato del Titolare, in base al ruolo assegnato (Segretari Nazionali, Regionali, Provinciali, Delegati aziendali) e limitatamente al territorio o al contesto di competenza;
- Fornitori IT nominati Responsabili del trattamento (hosting, posta transazionale, servizi CDN per font e icone);
- Autorità competenti, quando richiesto da obblighi di legge o da provvedimenti dell'Autorità Giudiziaria.
Trasferimenti extra-UE: i server del gestionale sono situati nell'Unione Europea. Alcuni servizi accessori (Google Fonts, cdnjs per Font Awesome) possono operare tramite infrastrutture con presenza globale; in tal caso i dati trasferiti si limitano a dati tecnici di navigazione (IP, user-agent) e il trasferimento è coperto dalle clausole contrattuali standard della Commissione UE.
7. Periodo di conservazione
- Dati di iscrizione, tessera, delega firmata: per tutta la durata dell'iscrizione e per i 10 anni successivi, per obblighi civilistici e contabili.
- Firma grafometrica + PDF consensi: 10 anni dalla firma, come documento con valore probatorio.
- Dati di formazione e attestati: 10 anni dal completamento del corso.
- Log di accesso e activity log: 12 mesi, salvo conservazione più lunga per motivi di sicurezza o contenzioso.
- Comunicazioni email inviate: 24 mesi.
- Dati raccolti per attività non andate a buon fine (pre-iscritto che non firma la delega): 6 mesi, poi cancellati.
8. Diritti dell'interessato
In qualunque momento puoi esercitare, ai sensi degli artt. 15–22 GDPR:
- accesso ai tuoi dati e copia degli stessi;
- rettifica o integrazione dei dati inesatti;
- cancellazione (diritto all'oblio) nei casi previsti;
- limitazione del trattamento;
- portabilità in formato strutturato e leggibile;
- opposizione al trattamento basato su legittimo interesse;
- revoca del consenso in ogni momento (senza pregiudizio della liceità del trattamento già avvenuto).
Per esercitare i tuoi diritti puoi scrivere a segreteria@uglterziario.it o alla PEC uglterziario@pec.it. Riceverai risposta entro 30 giorni.
9. Reclamo all'Autorità di controllo
Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all'autorità di controllo dello Stato membro di residenza.
10. Modifiche
La presente informativa può essere aggiornata per esigenze di compliance o per modifiche al gestionale. La data in alto indica l'ultima versione vigente. Le modifiche sostanziali sono comunicate via email agli utenti iscritti.