🌱 Horticum ← Torna alla home

Trattamento dati

DEENITFRESPLROBGRUUKTR
Nota: questa traduzione è fornita solo per comodità. La versione legalmente vincolante è l'originale in tedesco.

1. Oggetto e durata

Il responsabile del trattamento (Simon Kappelmeir – Dienstleistung, Weiherbachweg 6, 82216 Maisach, Germania, support@horticum.com) mette a disposizione del titolare il software „Horticum" come applicazione SaaS e tratta dati personali esclusivamente per conto del titolare ai sensi dell'art. 28 GDPR. Il presente Accordo sul trattamento dei dati (DPA) entra in vigore con la conclusione del contratto principale (contratto di utilizzo dell'app) e termina automaticamente con la sua cessazione. Il trattamento avviene esclusivamente all'interno dell'UE/SEE o in paesi terzi coperti da decisione di adeguatezza oppure da clausole contrattuali tipo (SCC).

2. Natura e finalità del trattamento

La finalità del trattamento è la fornitura delle funzionalità dell'app, in particolare: • Pianificazione delle aiuole, pianificazione delle colture, gestione di compiti e piano giornaliero • Rilevazione orari e gestione assenze dei dipendenti • Documentazione fitosanitaria e di fertilizzazione • Registro di primo soccorso (secondo DGUV) • Gestione contatti (clienti, fornitori, referenti) • Stampa di etichette e liste (abbonamento Pro+) • Sincronizzazione tra dispositivi • Gestione account e abbonamento

3. Tipologie di dati personali

• Dati anagrafici e di comunicazione (nome, indirizzo, telefono, e-mail) • Dati di accesso/account (e-mail, hash della password, token di sessione, indirizzi IP) • Dati anagrafici aziendali (codice fiscale, P.IVA, IBAN/BIC) • Dati operativi di pianificazione e controllo • Dati di rilevazione orari e assenze • Categorie particolari ai sensi dell'art. 9 GDPR: dati sanitari dei dipendenti nel registro digitale di primo soccorso (conservazione di legge 5 anni secondo DGUV Regola 1) • Dati di applicazione fitosanitaria (qualifica, nomi degli applicatori — secondo § 11 PflSchG, 3 anni) • Dati di fertilizzazione (secondo DüV)

4. Categorie di interessati

• Titolare o direzione del titolare del trattamento • Dipendenti e apprendisti del titolare • Clienti, fornitori e referenti del titolare • Clienti finali del titolare (se memorizzati nella gestione contatti)

5. Obblighi del responsabile del trattamento

Il responsabile si impegna a trattare i dati personali esclusivamente nell'ambito del presente accordo e secondo le istruzioni documentate del titolare (art. 28(3)(a) GDPR). Tutte le persone coinvolte nel trattamento sono vincolate alla riservatezza (art. 28(3)(b), art. 29, art. 32(4) GDPR). Il responsabile assiste il titolare nel garantire i diritti degli interessati (art. 12–22 GDPR) e nell'adempimento degli obblighi di cui agli artt. 32–36 GDPR (valutazione d'impatto, consultazione preventiva, notifica delle violazioni). Richieste manifestamente indirizzate al titolare vengono inoltrate senza indugio. Referente per la protezione dei dati: Simon Kappelmeir, support@horticum.com. La nomina di un responsabile della protezione dei dati non è attualmente richiesta per legge.

6. Misure tecniche e organizzative (TOM)

Il responsabile adotta tutte le misure tecniche e organizzative necessarie ai sensi dell'art. 32 GDPR, in particolare: • Controllo degli accessi fisici: hosting in un data center certificato in Germania (ISO 27001), controllo fisico e sorveglianza 24/7 • Controllo degli accessi al sistema: autenticazione e-mail/password, hash Argon2id/Bcrypt, chiave SSH per l'amministratore, rate limiting, scadenza della sessione • Controllo degli accessi ai dati: separazione dei tenant per azienda tramite team Appwrite, modello di autorizzazione basato sui ruoli • Controllo del trasferimento: esclusivamente TLS 1.2+ (HTTPS), HSTS attivato • Controllo dell'inserimento: audit trail (createdAt, updatedAt) su tutti i record rilevanti • Controllo dell'incarico: DPA con tutti i sub-responsabili • Controllo della disponibilità: backup giornalieri (conservazione 14 giorni), monitoraggio, RTO/RPO < 24 ore, firewall, aggiornamenti di sicurezza regolari • Controllo della separazione: ambienti separati test/sviluppo/produzione, separazione dei tenant a livello di database • Pseudonimizzazione: ID interni dell'account invece dei nomi reali nei log del server

7. Sub-responsabili del trattamento

Con la conclusione del presente accordo, il titolare concede l'autorizzazione generale all'utilizzo dei seguenti sub-responsabili (art. 28(2) GDPR): • dogado GmbH (Dortmund, DE) — hosting web/mail, proxy server per la validazione VIES • dogado GmbH o hoster equivalente (DE) — gestione del server Appwrite in Germania • Stripe Payments Europe Ltd. (Dublino, IE) — elaborazione pagamenti per abbonamenti Pro/Pro+ (per trasferimenti USA: SCC + DPF) • Apple Distribution International Ltd. (Cork, IE) — elaborazione pagamenti iOS/macOS tramite In-App Purchase • fintectura GmbH / openiban.com (Berlino, DE) — validazione IBAN • Commissione Europea, DG TAXUD (Bruxelles, BE) — verifica P.IVA VIES • komoot GmbH (Karlsruhe, DE) — geocoding Photon • zippopotam.us — ricerca CAP → città Il responsabile informa il titolare in forma testuale almeno 30 giorni prima di qualsiasi modifica prevista. Il titolare può opporsi entro 14 giorni per importanti motivi di protezione dei dati. Il responsabile risponde del rispetto degli obblighi di protezione dei dati da parte dei sub-responsabili (art. 28(4) GDPR).

8. Valutazione d'impatto e consultazione preventiva

Il responsabile assiste il titolare, nei limiti delle proprie possibilità, nello svolgimento di una valutazione d'impatto sulla protezione dei dati (art. 35 GDPR) e di una consultazione preventiva con l'autorità di controllo (art. 36 GDPR), in particolare fornendo le informazioni necessarie sui trattamenti, TOM e sub-responsabili.

9. Notifica delle violazioni

Le violazioni dei dati personali sono comunicate al titolare senza indugio, al più tardi entro 48 ore dalla conoscenza, via e-mail all'indirizzo di contatto registrato — affinché il titolare possa rispettare il proprio termine di 72 ore di cui all'art. 33 GDPR. La notifica contiene la natura e l'ampiezza della violazione, le categorie di dati e il numero approssimativo di interessati, le probabili conseguenze e le misure adottate o proposte.

10. Cessazione del trattamento

Alla cessazione del contratto principale, il responsabile cancella tutti i dati personali del titolare entro 30 giorni, salvo un obbligo legale di conservazione. Su richiesta del titolare, i dati vengono preliminarmente messi a disposizione in un formato leggibile da macchina (esportazione JSON). I dati soggetti a conservazione di legge (registrazioni di primo soccorso: 5 anni secondo DGUV; dati fitosanitari: 3 anni secondo PflSchG) vengono conservati bloccati fino allo scadere del termine e poi cancellati. La cancellazione, su richiesta, viene confermata per iscritto.

11. Prove e audit

Il titolare può verificare il rispetto del presente accordo da parte del responsabile (art. 28(3)(h) GDPR). La verifica avviene in via prioritaria richiedendo prove aggiornate (concetto di protezione dei dati, TOM, lista dei sub-responsabili, rapporti di audit). Ispezioni in loco sono possibili una volta l'anno durante il normale orario di lavoro, previa programmazione con almeno 4 settimane di preavviso. Il tempo di accompagnamento viene rimborsato secondo una tariffa oraria precedentemente concordata.

12. Disposizioni finali

Modifiche e integrazioni del presente accordo richiedono la forma testuale; ciò vale anche per la cancellazione di questa clausola. Qualora singole disposizioni siano inefficaci, l'efficacia delle restanti disposizioni non ne è influenzata. La disposizione inefficace viene sostituita da una disposizione efficace che meglio si avvicina alla finalità economica. Si applica il diritto tedesco. Il foro competente è — per quanto consentito dalla legge — Maisach (sede del responsabile). La responsabilità è disciplinata dall'art. 82 GDPR e, per il resto, dal contratto principale.