Informativa sul Trattamento dei Dati Personali
Indice
Doppio Ruolo del Titolare
WMS Agile agisce come Titolare del Trattamento per i dati degli utenti che accedono alla piattaforma (es. account, log di accesso). Per i dati operativi gestiti dalle aziende clienti (tenant) all'interno del sistema (es. dati destinatari spedizioni, operatori di magazzino), WMS Agile agisce come Responsabile del Trattamento per conto del tenant, il quale è il Titolare.
1 Titolare del Trattamento
Il Titolare del Trattamento è:
Agile Technology S.r.l.
Sede legale: Piazza di Campitelli, 2 — 00186 Roma (RM)
P.IVA / C.F.: 07776161213 — REA: RM · CCIAA Roma
Capitale sociale: €100.000,00 i.v.
Email: [email protected]
PEC: [email protected]
Responsabile Protezione Dati (DPO): Giampaolo Briscagli — [email protected]
2 Categorie di Dati Trattati e Finalità
2.1 Dati degli Utenti della Piattaforma (dipendenti/collaboratori dei tenant)
| Categoria | Dati Specifici | Finalità | Base Giuridica |
|---|---|---|---|
| Dati di Account | Nome completo, indirizzo email, ruolo, stato account | Autenticazione e autorizzazione alla piattaforma | Art. 6(1)(b) Esecuzione contratto |
| Credenziali | Password (hash bcrypt irreversibile) | Autenticazione sicura | Art. 6(1)(b) Esecuzione contratto |
| Dati di Sessione | Token JWT (hash SHA-256), timestamp sessione | Mantenimento sessione autenticata (7 giorni) | Art. 6(1)(b) Esecuzione contratto |
| Log di Accesso | Indirizzo IP, User-Agent, azione (login/logout/fallito), timestamp | Sicurezza, rilevamento accessi non autorizzati, prevenzione abusi | Art. 6(1)(f) Legittimo interesse |
| Dati Operativi | Missioni eseguite, scansioni, movimenti magazzino | Fornitura del servizio WMS, audit operativo | Art. 6(1)(b) Esecuzione contratto |
| Posizione in mappa | Coordinate SVG posizione operatore nel magazzino (tempo reale) | Ottimizzazione missioni, sicurezza operativa | Art. 6(1)(f) Legittimo interesse (informare operatori nell'IHRN) |
| Conversazioni AI | Testo delle query inviate all'assistente AI Claude | Risposta alle query operative dell'utente | Art. 6(1)(b) Esecuzione contratto |
2.2 Dati dei Clienti Finali (destinatari spedizioni — trattati per conto del tenant)
| Dati | Finalità | Base Giuridica del Tenant |
|---|---|---|
| Nome, cognome, indirizzo di consegna, telefono, email | Gestione spedizione, portale tracking pubblico | Art. 6(1)(b) Contratto di acquisto/spedizione |
2.3 Dati dei Fornitori e Partner Commerciali
| Dati | Finalità | Base Giuridica |
|---|---|---|
| Ragione sociale, P.IVA, indirizzo, email PEC, referente | Gestione rapporto commerciale, fatturazione, ordini acquisto | Art. 6(1)(b) Contratto / Art. 6(1)(c) Obbligo legale |
2.4 Dati di Autisti e Corrieri
| Dati | Finalità | Base Giuridica |
|---|---|---|
| Nome, telefono, targa veicolo | Gestione accessi yard, yard management, consegne | Art. 6(1)(b) Contratto di trasporto |
2.5 Dati di Fatturazione del Tenant
| Dati | Finalità | Base Giuridica |
|---|---|---|
| Ragione sociale, P.IVA, C.F., SDI, PEC, indirizzo sede, IBAN | Emissione fatture, adempimenti fiscali | Art. 6(1)(c) Obbligo legale |
3 Base Giuridica del Trattamento
Il trattamento si fonda sulle seguenti basi giuridiche ai sensi dell'art. 6 GDPR:
- Art. 6(1)(a) — Consenso: per comunicazioni di marketing opzionali (ove applicabile)
- Art. 6(1)(b) — Esecuzione del contratto: per tutti i dati necessari alla fornitura del servizio WMS
- Art. 6(1)(c) — Obbligo legale: per conservazione documenti fiscali (10 anni), audit trail normativo
- Art. 6(1)(f) — Legittimo interesse: per sicurezza informatica, prevenzione frodi, rate limiting, log di sistema. Il legittimo interesse è stato bilanciato rispetto ai diritti degli interessati tramite apposita valutazione (Legitimate Interest Assessment)
4 Conservazione dei Dati (Retention Policy)
| Categoria di Dati | Periodo di Conservazione | Meccanismo |
|---|---|---|
| Account utente (dati di profilo) | Fino alla cancellazione account + 30 giorni | Soft delete, poi pseudonimizzazione |
| Password hash | Eliminata al delete account GDPR | Sostituzione con valore invalidato |
| Log autenticazione (IP, User-Agent) | 90 giorni, poi anonimizzazione automatica | Cron job mensile (IP → NULL, UA → NULL) |
| Sessioni (token hash) | 7 giorni o alla revoca esplicita | Scadenza automatica (expires_at) |
| Tentativi di login (rate limiting) | 15 minuti | Finestra temporale Redis automatica |
| Audit trail operativo | 5 anni (compliance normativa) | Append-only immutabile con hash chain |
| Dati spedizioni e tracking | 2 anni dalla data di consegna | Soft delete + purge automatico |
| Fatture e documenti fiscali | 10 anni (art. 2220 c.c., D.P.R. 633/1972) | Archivio immutabile obbligatorio |
| Conversazioni AI | Session-only (non persistite dopo sessione) | Non archiviate in database |
| Dati operatori (posizioni in mappa) | Sessione lavorativa attiva | Sovrascrittura in tempo reale |
Nota sull'Audit Trail
Il registro di audit è tecnicamente immutabile (append-only con chain hashing SHA-256) per garantire l'integrità normativa. In caso di richiesta di cancellazione ex Art. 17 GDPR, i dati dell'interessato vengono pseudonimizzati (actor_id → 0, IP → NULL) nei nuovi log, mentre i log storici vengono conservati in forma aggregata senza identificatori diretti, bilanciando il diritto all'oblio con gli obblighi di conservazione previsti dalla legge.
5 Comunicazione e Trasferimento a Terzi
I dati personali sono comunicati esclusivamente a:
- Personale autorizzato di Agile Technology S.r.l., debitamente designato
- Sub-responsabili del trattamento (vedi Tab "Sub-Processor List"), tutti legati da specifici accordi DPA
- Autorità pubbliche su specifica richiesta legale, nei limiti previsti dalla normativa vigente
- Corrieri e vettori: solo i dati di spedizione necessari, per conto del tenant (nessun dato in più)
I dati non sono venduti, ceduti o comunicati a terzi per finalità di marketing o profilazione commerciale.
6 Trasferimento Extra-UE
| Destinatario | Paese | Garanzia |
|---|---|---|
| Anthropic PBC (Claude AI) | USA | Standard Contractual Clauses (SCC) — art. 46 GDPR; DPA firmato |
| Voyage AI (embedding RAG) | USA | Standard Contractual Clauses (SCC) — art. 46 GDPR |
| Revolut Ltd | UK | Decisione di adeguatezza UK (art. 45 GDPR) |
| Hetzner Online GmbH | Germania (EU) | Nessun trasferimento extra-UE — server in EU ✅ |
Data Residency EU
Tutti i dati sono archiviati e processati su server di Hetzner Online GmbH, Falkenstein (Germania), all'interno dell'Unione Europea. Nessun dato è replicato su server extra-UE senza le garanzie di cui all'art. 46 GDPR.
7 Misure di Sicurezza
Ai sensi dell'art. 32 GDPR, adottiamo le seguenti misure tecniche e organizzative:
- Cifratura in transito: TLS 1.2+ obbligatorio (HTTPS) su tutti gli endpoint; HSTS abilitato
- Password: Hash bcrypt con salt casuale; nessuna password in chiaro mai archiviata
- Credenziali sensibili: Cifrate con AES-256-CBC con IV casuale per storage (chiavi Revolut, Stripe)
- Audit trail: Catena hash SHA-256 immutabile; integrità verificabile matematicamente
- Rate limiting: Protezione brute-force su login (10 tentativi/IP, 5/email, finestra 15 min)
- Multi-tenancy isolata: Tutti i query filtrano per tenant_id; isolamento dati garantito a livello applicativo e DB
- Network isolation: Microservizi su rete Docker isolata; solo gateway esposto
- Access control: RBAC (Role-Based Access Control): admin / supervisor / operator / viewer
- Logging sicuro: IP hash-izzati (MD5) per rate limiting; log anonimizzati dopo 90 giorni
- Backup: Backup quotidiani cifrati in storage Hetzner EU
8 Diritti degli Interessati
Ai sensi degli artt. 15-22 GDPR, l'interessato ha diritto di:
Accesso (Art. 15)
Ottenere conferma del trattamento e copia dei propri dati personali.
✓ Implementato via GET /api/users/me/data
Rettifica (Art. 16)
Correggere dati inesatti o incompleti.
✓ Implementato via Profilo Utente
Cancellazione (Art. 17)
Richiedere la cancellazione dei dati personali (diritto all'oblio).
✓ Implementato via DELETE /api/users/me/data
Limitazione (Art. 18)
Richiedere la limitazione del trattamento in casi specifici.
Richiesta via email
Portabilità (Art. 20)
Ricevere i propri dati in formato strutturato e machine-readable (JSON).
✓ Implementato via GET /api/users/me/data
Opposizione (Art. 21)
Opporsi al trattamento per legittimo interesse o marketing.
Richiesta via email
Per esercitare i propri diritti, utilizzare la sezione "Esercita i Diritti" oppure inviare email a [email protected]. Il riscontro è fornito entro 30 giorni (prorogabili a 90 giorni in casi complessi). È possibile proporre reclamo al Garante Privacy Italiano (www.gpdp.it) o all'Autorità di controllo del proprio paese di residenza.
9 Modifiche alla Informativa
La presente informativa è soggetta ad aggiornamenti. Le modifiche sostanziali saranno comunicate agli utenti tramite notifica in-app con almeno 15 giorni di preavviso. La versione vigente è sempre disponibile all'indirizzo https://wms.agile.software/legal.html. La data dell'ultima revisione è indicata nell'intestazione del documento.
Data Processing Agreement (DPA)
Ambito di Applicazione
Il presente accordo regola il rapporto tra Agile Technology S.r.l. (Responsabile del Trattamento) e l'azienda cliente (Titolare del Trattamento) relativamente ai dati personali trattati tramite la piattaforma WMS Agile nell'ambito del contratto di servizio. L'accettazione dei Termini di Servizio di WMS Agile implica l'accettazione del presente DPA.
1 Definizioni
Ai fini del presente accordo si intende per:
- "Titolare": l'azienda cliente che ha stipulato il contratto di servizio per WMS Agile e che determina finalità e mezzi del trattamento dei dati operativi
- "Responsabile": Agile Technology S.r.l., che tratta i dati personali per conto del Titolare
- "Interessati": le persone fisiche i cui dati sono trattati tramite la piattaforma (es. utenti, operatori, destinatari spedizioni, autisti, fornitori-persone fisiche)
- "Dati Personali": qualsiasi informazione relativa a persona fisica identificata o identificabile ai sensi dell'art. 4(1) GDPR
- "Piattaforma": il software WMS Agile erogato come servizio (SaaS) o installato on-premise
2 Oggetto del Trattamento
2.1 Categorie di dati trattati dal Responsabile per conto del Titolare
| Categoria | Dati Specifici | Interessati |
|---|---|---|
| Dati identificativi utenti | Nome, cognome, email, ruolo, credenziali (hash) | Dipendenti / operatori del Titolare |
| Dati operativi magazzino | Missioni, scansioni, movimenti, audit trail operazioni | Operatori di magazzino |
| Dati clienti finali | Nome, indirizzo consegna, telefono, email destinatario | Clienti/destinatari del Titolare |
| Dati fornitori | Ragione sociale, referente, contatti, P.IVA | Fornitori del Titolare |
| Dati autisti e corrieri | Nome, telefono, targa, movimento yard | Autisti / corrieri del Titolare |
| Dati localizzazione | Posizione operatori in mappa SVG (coordinate sistema interno) | Operatori di magazzino |
2.2 Finalità del trattamento
Il Responsabile tratta i dati personali esclusivamente per:
- Fornitura e mantenimento della piattaforma WMS Agile
- Assistenza tecnica e risoluzione di anomalie (debug)
- Backup e ripristino dati (disaster recovery)
- Aggiornamenti di sicurezza e funzionali della piattaforma
- Adempimenti normativi applicabili al Responsabile
Il Responsabile non tratta i dati per finalità proprie né per finalità diverse da quelle del Titolare.
3 Obblighi del Responsabile
Agile Technology S.r.l., in qualità di Responsabile, si impegna a:
- Trattare i dati personali esclusivamente su istruzione documentata del Titolare
- Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza
- Adottare le misure di sicurezza previste dall'art. 32 GDPR (vedi Allegato A)
- Rispettare le condizioni per ricorrere a sub-responsabili (art. 28(2) e 28(4) GDPR), come da Allegato B — Sub-Processor List
- Assistere il Titolare nell'adempimento degli obblighi di risposta alle richieste degli Interessati (art. 15-22 GDPR)
- Assistere il Titolare nell'adempimento degli obblighi di cui agli art. 32-36 GDPR
- Su scelta del Titolare, cancellare o restituire i dati al termine del servizio
- Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente articolo
- Notificare tempestivamente al Titolare qualsiasi violazione dei dati personali (data breach) entro 24 ore dalla scoperta
4 Obblighi del Titolare
Il Titolare si impegna a:
- Aver raccolto i dati personali degli Interessati in modo lecito e trasparente
- Fornire al Responsabile solo dati necessari alle finalità dichiarate (minimizzazione)
- Garantire di avere una base giuridica valida per ogni trattamento operato tramite la piattaforma
- Informare adeguatamente i propri Interessati del trattamento (art. 13 GDPR)
- Gestire le richieste degli Interessati con il supporto del Responsabile
- Notificare tempestivamente al Responsabile eventuali istruzioni che ritiene violino il GDPR
5 Sub-Responsabili del Trattamento
Il Titolare autorizza in via generale il Responsabile a ricorrere ai sub-responsabili elencati nell'Allegato B (Sub-Processor List). Ogni sub-responsabile è vincolato da obblighi equivalenti a quelli del presente accordo.
Il Responsabile informerà il Titolare con almeno 30 giorni di preavviso in caso di aggiunta o sostituzione di sub-responsabili. Il Titolare può opporsi entro tale termine.
6 Sicurezza del Trattamento
Le misure di sicurezza tecniche e organizzative adottate sono descritte nell'Allegato A e includono:
- Cifratura in transito (TLS 1.2+) e at-rest per credenziali sensibili (AES-256-CBC)
- Hash irreversibile delle password (bcrypt)
- Audit trail immutabile con catena hash SHA-256
- Isolamento multi-tenant a livello di query e network
- Controllo degli accessi basato su ruolo (RBAC)
- Monitoraggio e rate limiting anti-brute force
- Backup giornalieri cifrati in EU
7 Trasferimenti Extra-UE
I trasferimenti di dati a sub-responsabili extra-UE (Anthropic/USA, Voyage AI/USA) avvengono mediante Standard Contractual Clauses (SCC) ai sensi dell'art. 46 GDPR. Il Titolare prende atto di tali trasferimenti.
8 Durata e Termine
Il presente accordo ha la stessa durata del contratto di servizio. Alla cessazione del servizio, su richiesta del Titolare, i dati saranno cancellati entro 30 giorni oppure restituiti in formato esportabile (JSON/CSV). I dati oggetto di obblighi di conservazione legale saranno mantenuti per il periodo obbligatorio e poi eliminati.
9 Legge Applicabile e Foro
Il presente accordo è disciplinato dal diritto italiano e dal Regolamento UE 2016/679. Per ogni controversia è competente il Foro di [città del Titolare / Milano per accordo]. Il Garante per la Protezione dei Dati Personali è l'autorità di controllo di riferimento in Italia.
FIRME — SEZIONE DA COMPLETARE
Responsabile del Trattamento
Agile Technology S.r.l.
Piazza di Campitelli, 2 — 00186 Roma (RM)
P.IVA: 07776161213 — PEC: [email protected]
Firma e timbro / Data
Nome e cognome del rappresentante legale
Titolare del Trattamento
[Ragione sociale cliente]
[Indirizzo legale]
P.IVA: [Da inserire]
Firma e timbro / Data
Nome e cognome del rappresentante legale
Accettazione digitale
Per le installazioni SaaS, il DPA può essere accettato digitalmente al momento della sottoscrizione del contratto di servizio. Inviare richiesta di DPA firmato a [email protected].
Cookie Policy
WMS Agile non utilizza cookie di profilazione o analytics
La piattaforma WMS Agile è un sistema gestionale B2B ad accesso autenticato. Non vengono utilizzati cookie di terze parti, pixel di tracciamento, analytics o pubblicità comportamentale.
1 Cookie Tecnici Strettamente Necessari
Ai sensi dell'art. 122 D.Lgs. 196/2003 e del Provvedimento Garante, i cookie tecnici non richiedono consenso. WMS Agile utilizza esclusivamente i seguenti:
| Nome / Tipo | Finalità | Durata | Prima/Terza Parte | Consenso |
|---|---|---|---|---|
wms_session (localStorage JWT) |
Mantenimento sessione autenticata utente | 7 giorni (o logout) | Prima parte | Non richiesto |
wms_wizard_* (sessionStorage) |
Stato temporaneo wizard configurazione simulatore | Sessione browser | Prima parte | Non richiesto |
wms_lang (localStorage) |
Preferenza lingua interfaccia utente | Persistente | Prima parte | Non richiesto |
| Cookie tecnici CDN (Font Awesome, jsDelivr) | Caricamento icone e librerie JavaScript | Sessione (CDN standard) | Terza parte — CDN | Non richiesto (solo tecnici) |
2 Storage Locale (localStorage / sessionStorage)
WMS Agile utilizza il localStorage del browser esclusivamente per:
- Token JWT: necessario per mantenere la sessione autenticata tra navigazioni dello stesso browser. Non viene inviato a terzi. È cifrato lato transport via HTTPS.
- Preferenze UI: lingua, tema (dark/light), impostazioni display
Il sessionStorage è utilizzato per stato temporaneo del wizard simulatore, cancellato automaticamente alla chiusura del tab.
3 Cookie Non Utilizzati
WMS Agile non utilizza:
- Google Analytics, Google Tag Manager, Facebook Pixel, Hotjar, Mixpanel, Segment
- Cookie di retargeting pubblicitario
- Pixel di tracciamento cross-site
- Social login/sharing widget con tracciamento (es. Facebook Login, Twitter share)
- Heatmap o session recording tools
4 Gestione e Cancellazione
Per rimuovere i dati di sessione:
- Logout esplicito: cancella il token di sessione e revoca la sessione lato server
- Cancellazione manuale: dal browser → Impostazioni → Privacy → Cancella dati di navigazione (selezionare "Dati salvati di siti e cookie")
- Incognito/Private browsing: i dati non vengono persistiti alla chiusura della finestra
Lista Sub-Responsabili del Trattamento
Ai sensi dell'art. 28(4) GDPR, i seguenti sub-responsabili possono accedere ai dati personali trattati tramite WMS Agile. Tutti i sub-responsabili sono vincolati da obblighi equivalenti a quelli del DPA principale.
| Sub-Responsabile | Paese / HQ | Servizio fornito | Dati acceduti | Garanzia trasferimento | DPA / Privacy |
|---|---|---|---|---|---|
| Hetzner Online GmbH | 🇩🇪 Germania (EU) | Cloud hosting, storage, networking | Tutti i dati (hosting fisico) | EU — nessun trasferimento extra-UE | Privacy Policy |
| Anthropic PBC | 🇺🇸 USA | Motore AI conversazionale (Claude API) | Testo delle query AI inviate dall'utente; nessun dato strutturale WMS inviato | SCC — art. 46 GDPR | Privacy Policy + DPA |
| Voyage AI | 🇺🇸 USA | Generazione embedding testuali (RAG Knowledge Base) | Testo dei documenti indicizzati nella Knowledge Base AI | SCC — art. 46 GDPR | Privacy Policy |
| Revolut Ltd | 🇬🇧 UK | Elaborazione pagamenti online (opzionale) | Dati fatturazione tenant (ragione sociale, importo); nessun dato carta di credito conservato da WMS | UK — Decisione adeguatezza EU | Privacy Policy + DPA |
| Qdrant (self-hosted) | 🇩🇪 Germania (EU) | Vector database per RAG AI (installazione locale) | Embedding vettoriali (non riconducibili a persone fisiche) | EU — installazione locale Hetzner | N/A (self-hosted) |
| Eclipse Mosquitto (self-hosted) | 🇩🇪 Germania (EU) | MQTT broker per WCS/AGV | Messaggi operativi AGV (nessun dato personale) | EU — installazione locale Hetzner | N/A (self-hosted) |
Dati inviati ad Anthropic Claude API
Le query inviate all'assistente AI Claude contengono il testo inserito dall'utente e il contesto operativo WMS necessario per la risposta (es. stato missioni, livelli stock). Non vengono mai inviati ad Anthropic: password, token di accesso, dati finanziari, credenziali di pagamento. Gli embedding per la Knowledge Base vengono generati tramite Voyage AI e conservati localmente in Qdrant (EU).
Registro delle Attività di Trattamento (ROPA)
Nota
Il presente ROPA è redatto nella prospettiva di Agile Technology S.r.l. come Responsabile del Trattamento (art. 30(2) GDPR). Ogni tenant titolare è tenuto a redigere il proprio ROPA nella prospettiva di Titolare.
T-01 — Autenticazione e Gestione Sessioni
Utenti PiattaformaTitolare istruttore
Azienda tenant (cliente)
Categorie interessati
Dipendenti / operatori del tenant
Dati trattati
Email, nome, password hash, IP, user-agent, token sessione
Finalità
Autenticazione, sicurezza accesso, prevenzione abusi
Base giuridica
Contratto (b) + Legittimo interesse (f)
Retention
Account: fino a cancellazione; IP log: 90gg; Sessioni: 7gg
Destinatari
Nessun trasferimento a terzi
Trasf. extra-UE
No
Sicurezza
bcrypt, TLS, rate limiting, RBAC
Sistema
wms_auth_db (auth-ms:3081)
T-02 — Operazioni di Magazzino e Audit Trail
OperazioniTitolare istruttore
Azienda tenant (cliente)
Categorie interessati
Operatori, supervisori, manager del tenant
Dati trattati
Actor ID, azione eseguita, entità modificata, IP request, timestamp, valori pre/post
Finalità
Audit operativo, tracciabilità, compliance normativa, integrità dati
Base giuridica
Obbligo legale (c) + Contratto (b)
Retention
5 anni (compliance)
Destinatari
Nessun trasferimento; accesso solo tenant autorizzato
Trasf. extra-UE
No
Sicurezza
SHA-256 hash chain, append-only, REVOKE DELETE
Sistema
wms_agile_db.audit_log
T-03 — Gestione Spedizioni e Tracking Clienti
Dati TerziTitolare istruttore
Azienda tenant (cliente)
Categorie interessati
Clienti finali del tenant (destinatari spedizioni)
Dati trattati
Nome, indirizzo consegna, telefono, email
Finalità
Gestione logistica, tracking, notifica consegna
Base giuridica
Contratto di acquisto/spedizione (b) del tenant
Retention
2 anni dalla consegna
Destinatari
Corrieri (BRT, etc.) per esecuzione spedizione
Trasf. extra-UE
Solo se corriere opera extra-UE (a carico del tenant)
Sicurezza
TLS in transito, soft delete, accesso tenant-isolated
Sistema
wms_inventory_db.parcel_tracking
T-04 — Fatturazione e Dati Fiscali Tenant
Obbligo LegaleTitolare istruttore
Agile Technology S.r.l. (titolare diretto)
Categorie interessati
Rappresentanti legali e referenti delle aziende clienti
Dati trattati
Ragione sociale, P.IVA, C.F., SDI, PEC, indirizzo, importi fattura
Finalità
Emissione fatture, adempimenti IVA, tenuta contabilità
Base giuridica
Obbligo legale art. 6(1)(c) — D.P.R. 633/1972
Retention
10 anni (art. 2220 c.c.)
Destinatari
Agenzia delle Entrate (SDI), commercialista
Trasf. extra-UE
No
Sicurezza
AES-256-CBC per chiavi API provider; TLS; RBAC
Sistema
wms_agile_db.billing_*
T-05 — AI Conversazionale e Knowledge Base
AITitolare istruttore
Azienda tenant (cliente)
Categorie interessati
Utenti che interagiscono con l'AI
Dati trattati
Testo delle query, contesto WMS (stock, missioni), embedding documenti
Finalità
Risposta a query operative, analisi KPI, supporto decisionale
Base giuridica
Contratto (b)
Retention
Sessione (query non persistite); embedding: durata servizio
Destinatari
Anthropic (Claude API), Voyage AI (embedding)
Trasf. extra-UE
USA — SCC art. 46 GDPR
Sicurezza
TLS, no dati sensibili inviati ad API esterne
Sistema
ai-ms:3087, Qdrant:6333
T-06 — Gestione Operatori e Localizzazione Magazzino
Dati LavoratoriTitolare istruttore
Azienda tenant (datore di lavoro)
Categorie interessati
Operatori di magazzino (dipendenti / somministrati)
Dati trattati
Nome, telefono, badge, ruolo, turno, posizione in mappa SVG (coordinate interne magazzino)
Finalità
Assegnazione missioni, ottimizzazione percorsi, sicurezza operativa
Base giuridica
Contratto di lavoro (b) + Legittimo interesse sicurezza (f)
Retention
Attiva solo durante turno lavorativo; storico missioni: 2 anni
Destinatari
Nessun trasferimento a terzi
Trasf. extra-UE
No
Sicurezza
Accesso solo supervisori autorizzati; RBAC; isolamento tenant
Note
⚠️ Informativa sindacale/IHRN obbligatoria ex art. 4 L. 300/1970 (Statuto Lavoratori)
Nota per i Tenant — Statuto dei Lavoratori
Il trattamento di dati di localizzazione e produttività degli operatori tramite WMS Agile costituisce potenzialmente un sistema di controllo a distanza ai sensi dell'art. 4 L. 300/1970 (Statuto dei Lavoratori). Il tenant (datore di lavoro) è responsabile di ottenere preventivamente accordo sindacale o autorizzazione dell'Ispettorato del Lavoro, nonché di informare adeguatamente i lavoratori. Agile Technology S.r.l. non risponde del mancato adempimento da parte del tenant.
Esercizio dei Diritti GDPR
Come esercitare i tuoi diritti
Se sei un utente registrato sulla piattaforma, puoi esercitare i diritti di accesso e cancellazione direttamente dall'app (Profilo → Privacy). Per gli altri diritti, invia richiesta a [email protected]. Risponderemo entro 30 giorni, previo riscontro dell'identità dell'interessato.
1 Diritti Disponibili
| Diritto | Art. GDPR | Come esercitarlo | Stato implementazione |
|---|---|---|---|
| Accesso ai dati | Art. 15 | App → Profilo → Scarica i miei dati oppure [email protected] |
✓ Implementato in-app |
| Rettifica | Art. 16 | App → Profilo → Modifica dati personali | ✓ Disponibile in-app |
| Cancellazione (diritto all'oblio) | Art. 17 | App → Profilo → Elimina il mio account oppure email a [email protected] |
✓ Implementato (pseudonimizzazione) |
| Portabilità | Art. 20 | App → Profilo → Scarica i miei dati (formato JSON) | ✓ Implementato in-app |
| Limitazione del trattamento | Art. 18 | Email a [email protected] | Via email — risposta 30gg |
| Opposizione | Art. 21 | Email a [email protected] | Via email — risposta 30gg |
| Non essere soggetto a decisioni automatizzate | Art. 22 | N/A — WMS Agile non prende decisioni automatizzate con effetti giuridici sulle persone | N/A — non applicabile |
| Reclamo all'Autorità | Art. 77 | Garante Privacy Italiano — modulo reclamo | Sempre disponibile |
2 Contatti DPO e Ufficio Privacy
Responsabile Protezione Dati (DPO) — Giampaolo Briscagli
[email protected]
Risposta entro 72 ore lavorative
Ufficio Privacy Generale
[email protected]
Per richieste GDPR, cancellazioni, portabilità, reclami
DPA e Accordi Legali (per aziende)
[email protected]
Per Data Processing Agreement, sotto-accordi, DPIA, audits
3 Autorità di Controllo
In Italia, l'Autorità di controllo competente è il Garante per la Protezione dei Dati Personali:
- Sito: www.gpdp.it
- Email: [email protected]
- PEC: [email protected]
- Telefono: +39 06 696771
Gli interessati residenti in altri Stati UE possono rivolgersi all'Autorità di controllo del proprio Stato di residenza (elenco completo su edpb.europa.eu).