Accordo sul Trattamento dei Dati — HR Omni
Ultimo aggiornamento: febbraio 2026
Il presente Accordo sul Trattamento dei Dati ("DPA") è stipulato tra il Titolare del trattamento (l'organizzazione Provider che utilizza HR Omni) e il Responsabile del trattamento (OVVIO Solutions, gestore di HR Omni). Il presente DPA integra i Termini e Condizioni e disciplina il trattamento dei dati personali da parte del Responsabile per conto del Titolare.
1. Definizioni
I termini utilizzati nel presente DPA hanno il significato attribuito loro dal Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 ("GDPR") e dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, modificato dal D.Lgs. 101/2018).
2. Ambito e Finalità del Trattamento
| Attività di trattamento | Categorie di interessati | Categorie di dati personali |
|---|---|---|
| Gestione anagrafica dipendenti | Dipendenti dei clienti del Titolare | Nome, codice fiscale, email, telefono, dati contrattuali, stato occupazionale |
| Gestione presenze | Dipendenti | Tipo assenza, date, orari, ore, note |
| Pianificazione turni di reperibilità | Lavoratori intermittenti | Nome, date turni, ore, codice UNILAV |
| Comunicazioni al Ministero del Lavoro | Lavoratori intermittenti | Nome, date turni, ore, dati datore di lavoro |
| Invio email transazionali | Utenti, dipendenti (indirettamente) | Indirizzo email, nome, contenuto della notifica |
| Inserimento dati assistito da AI | Dipendenti (nomi citati in chat) | Nomi dipendenti, contesto presenze |
| Log di audit delle attività | Utenti | ID utente, azioni eseguite, timestamp |
3. Obblighi del Responsabile del trattamento
Il Responsabile del trattamento si impegna a:
3.1. Trattare i dati personali solo su istruzione documentata del Titolare, inclusi i trasferimenti verso paesi terzi.
3.2. Garantire che le persone autorizzate al trattamento dei dati personali siano vincolate da obblighi di riservatezza.
3.3. Adottare adeguate misure tecniche e organizzative di sicurezza, tra cui:
- Cifratura in transito (TLS/HTTPS) e a riposo
- Row-Level Security (RLS) per l'isolamento dei dati multi-tenant
- Controllo degli accessi basato sui ruoli con autenticazione JWT
- Hashing delle password con Bcrypt
- Privacy wall che impedisce l'accesso a livello di piattaforma ai dati personali di clienti e dipendenti
- Valutazioni periodiche della sicurezza
3.4. Ricorrere a sub-responsabili solo previa autorizzazione scritta (generale o specifica) del Titolare. Gli attuali sub-responsabili autorizzati sono elencati nella Sezione 6.
3.5. Assistere il Titolare nella gestione delle richieste di accesso degli interessati (DSAR) entro i termini previsti.
3.6. Assistere il Titolare nel garantire il rispetto degli articoli 32–36 del GDPR (sicurezza, notifica di violazioni, valutazioni d'impatto).
3.7. Cancellare o restituire tutti i dati personali alla cessazione del servizio, salvo obbligo di conservazione ai sensi del diritto dell'UE o italiano.
3.8. Mettere a disposizione tutte le informazioni necessarie per dimostrare la conformità e consentire audit.
4. Obblighi del Titolare del trattamento
Il Titolare del trattamento si impegna a:
4.1. Garantire di disporre di una base giuridica per il trattamento dei dati personali e di aver fornito adeguate informative agli interessati.
4.2. Garantire l'accuratezza e la liceità di tutti i dati inseriti nella Piattaforma.
4.3. Notificare al Responsabile le richieste degli interessati che richiedono il suo intervento.
4.4. Garantire che le istruzioni impartite al Responsabile siano conformi alla normativa applicabile.
5. Notifica delle Violazioni dei Dati
5.1. Il Responsabile notifica al Titolare, senza ingiustificato ritardo (e comunque entro 48 ore), qualsiasi violazione dei dati personali di cui venga a conoscenza.
5.2. La notifica include:
- Natura della violazione
- Categorie e numero approssimativo di interessati coinvolti
- Probabili conseguenze
- Misure adottate o proposte per rimediare alla violazione
5.3. Il Titolare è responsabile della notifica al Garante per la protezione dei dati personali entro 72 ore dalla conoscenza della violazione (GDPR Art. 33).
6. Sub-responsabili autorizzati
Il Titolare fornisce autorizzazione generale per i seguenti sub-responsabili:
| Sub-responsabile | Sede legale | Attività di trattamento | Dati trattati |
|---|---|---|---|
| Supabase Inc. | San Francisco, USA (regione dati UE) | Hosting database, autenticazione, funzioni serverless | Tutti i dati applicativi |
| Brevo (Sendinblue) | Parigi, Francia | Invio email transazionali | Indirizzi email, nomi, contenuto delle notifiche |
| Mistral AI SAS | Parigi, Francia | Completamento chat AI | Messaggi chat, nomi dipendenti, contesto presenze |
6.1. Il Responsabile informa il Titolare di qualsiasi variazione prevista dei sub-responsabili, concedendo al Titolare 30 giorni per opporsi.
6.2. Il Responsabile garantisce che ciascun sub-responsabile sia vincolato da obblighi di protezione dei dati non meno rigorosi di quelli previsti dal presente DPA.
6.3. Qualora un sub-responsabile tratti dati al di fuori dell'UE/SEE, saranno adottate garanzie adeguate (Standard Contractual Clauses o decisioni di adeguatezza).
7. Conservazione e Cancellazione dei Dati
| Categoria di dati | Periodo di conservazione | Base |
|---|---|---|
| Dati personali dei dipendenti | Durata del servizio + 10 anni | Normativa fiscale e del lavoro italiana |
| Dati dell'azienda cliente | Durata del servizio + 5 anni | Obblighi commerciali e fiscali |
| Dati account/profilo | Durata dell'account + 1 anno | Legittimo interesse |
| Log delle attività | 7 anni | Audit e conformità |
| Log email | 2 anni | Monitoraggio operativo |
| Registrazioni del consenso | Illimitato | Requisito di audit legale |
Alla cessazione, il Responsabile cancella i dati personali entro 90 giorni, salvo obbligo di conservazione previsto dalla legge.
8. Trasferimenti Internazionali di Dati
8.1. I dati personali sono trattati principalmente all'interno dell'Unione Europea.
8.2. Qualora Supabase tratti dati negli USA, i trasferimenti sono coperti dalle Standard Contractual Clauses e/o dall'EU-US Data Privacy Framework.
8.3. Mistral AI e Brevo trattano i dati all'interno dell'UE.
9. Responsabile della protezione dei dati
Se una delle parti ha nominato un Responsabile della protezione dei dati, i relativi recapiti saranno comunicati all'altra parte.
- DPO del Titolare: da specificare a cura del Provider
- DPO del Responsabile: privacy@hromni.eu
10. Legge applicabile e Giurisdizione
Il presente DPA è disciplinato dalla legge italiana e dal GDPR. Le controversie saranno di competenza dei tribunali di Milano.
11. Durata
Il presente DPA rimane in vigore per tutta la durata del contratto di servizio. Gli obblighi relativi alla cancellazione dei dati, alla riservatezza e alla cooperazione sopravvivono alla cessazione.