L’informativa privacy per le imprese edili è il documento, previsto dal GDPR, che spiega in modo chiaro come vengono raccolti, usati, conservati e protetti i dati personali di clienti, dipendenti, subappaltatori, fornitori e terzi che accedono ai cantieri. Indica le finalità del trattamento, come la gestione di preventivi e contratti, gli adempimenti di sicurezza e normativi, la gestione dei pagamenti e delle assicurazioni, le basi giuridiche che legittimano tali trattamenti, i destinatari dei dati e i tempi di conservazione. Serve a garantire trasparenza, consentire alle persone di esercitare i propri diritti (accesso, rettifica, opposizione, ecc.), dimostrare la conformità dell’impresa alle regole sulla protezione dei dati e ridurre il rischio di contenziosi e sanzioni, rafforzando al contempo la fiducia di clienti e partner.
Come scrivere Informativa privacy imprese edili
Un’informativa privacy per un’impresa edile, redatta ai sensi degli articoli 12, 13 e 14 del GDPR e della normativa italiana applicabile, deve identificare chiaramente il titolare del trattamento con i relativi recapiti, includendo sede legale, canali di contatto per l’esercizio dei diritti e, se nominato perché necessario o opportuno, il Responsabile della Protezione dei Dati con i suoi contatti. Deve descrivere in modo comprensibile quali categorie di interessati sono coinvolte, tipicamente clienti e committenti, rappresentanti di fornitori e subappaltatori, lavoratori e collaboratori, candidati in selezione, visitatori dei cantieri e utenti del sito web o dei canali di segnalazione interna. Per ciascuna categoria va spiegato quali dati personali sono trattati e da dove provengono, specificando se i dati sono raccolti direttamente dall’interessato, ottenuti da terzi come il general contractor, il committente o banche dati pubbliche, oppure generati nel corso delle attività aziendali attraverso sistemi di accesso ai cantieri, registri presenze, geolocalizzazione dei mezzi, videosorveglianza, piattaforme digitali e strumenti di salute e sicurezza.
Occorre dettagliare le finalità del trattamento e le corrispondenti basi giuridiche. Per la gestione di preventivi, offerte, contratti di appalto e subappalto, collaudi, contabilità e pagamenti la base è l’esecuzione di misure precontrattuali o contrattuali. Per gli adempimenti di legge, come quelli in materia fiscale e contabile, antimafia, tracciabilità dei flussi finanziari, sicurezza sul lavoro, medicina del lavoro, formazione obbligatoria, gestione infortuni e comunicazioni a INAIL, Ispettorato, ASL, Prefetture o altre autorità, la base è l’obbligo legale. Per esigenze di sicurezza dei cantieri, tutela del patrimonio, prevenzione di frodi e recupero crediti si può ricorrere al legittimo interesse, motivandolo e bilanciandolo con i diritti degli interessati e indicando le misure di salvaguardia. Per attività non necessarie come newsletter commerciali o l’uso di cookie di profilazione è richiesto il consenso libero e revocabile. Se sono trattate categorie particolari di dati, per esempio dati sanitari connessi all’idoneità alla mansione o alla gestione di infortuni, l’informativa deve spiegare che il trattamento avviene nei limiti consentiti dagli articoli 9 e 88 del GDPR e dalla normativa nazionale in materia di lavoro e sicurezza, con il coinvolgimento del medico competente e misure di riservatezza adeguate. Se vengono trattati dati giudiziari come informazioni antimafia o casellari, bisogna indicare il fondamento di legge specifico che autorizza tale trattamento e le garanzie adottate. Nei contesti in cui si impiegano tecnologie potenzialmente invasive, come geolocalizzazione dei veicoli, controllo accessi con badge, sistemi di videosorveglianza sui cantieri, strumenti digitali di time tracking o, in casi limitati e leciti, sistemi biometrici, vanno chiariti scopi, presupposti giuridici, ambito di utilizzo, aree riprese, tempi di conservazione, chi può accedere ai dati e i diritti degli interessati, tenendo conto dei limiti posti dalla disciplina sul controllo a distanza dei lavoratori e, se necessario, di accordi sindacali o autorizzazioni.
La trasparenza richiede di indicare se il conferimento dei dati è obbligatorio o facoltativo e quali sono le conseguenze del mancato conferimento. Ad esempio, i dati richiesti per la verifica dei requisiti tecnico-professionali, per la gestione della sicurezza di cantiere, per la fatturazione o per l’accesso ai siti sono indispensabili; altri dati, come quelli per finalità promozionali, sono facoltativi. Devono essere elencate le categorie di destinatari cui i dati possono essere comunicati, come consulenti fiscali e legali, istituti bancari e assicurativi, società informatiche e provider cloud nominati responsabili del trattamento, general contractor e committenti quando necessario per la gestione dell’appalto, coordinatori per la sicurezza, organismi di formazione, medico competente e servizio di prevenzione e protezione, oltre alle autorità pubbliche che li richiedano per legge. Se i dati sono condivisi con partner di un’ATI, consorzi o joint venture, va chiarito se vi è co-titolarità e come sono ripartite le responsabilità, mettendo a disposizione i punti essenziali dell’accordo di contitolarità.
L’informativa deve affrontare in modo chiaro il tema dei trasferimenti extra SEE, indicando se alcuni fornitori tecnologici o piattaforme collocano i dati fuori dall’Unione europea e quali garanzie sono adottate, come clausole contrattuali standard, misure supplementari di sicurezza o decisioni di adeguatezza. È essenziale specificare i tempi di conservazione o i criteri usati per determinarli, distinguendo tra le diverse finalità: documenti fiscali e contrattuali tipicamente sono conservati per i termini di legge civilistici e tributari; i dati legati alla sicurezza sul lavoro seguono i tempi previsti dalla normativa di settore; i filmati di videosorveglianza sono conservati per periodi molto contenuti salvo esigenze di indagine; i dati di geolocalizzazione e i log di accesso sono conservati solo per il tempo necessario a sicurezza, logistica o rendicontazione; le candidature non andate a buon fine sono trattenute solo per un periodo limitato coerente con la finalità di valutare future posizioni. Per ciascuna voce è utile indicare una durata massima o un criterio oggettivo, evitando conservazioni indeterminate.
Vanno enunciati in modo operativo i diritti degli interessati, compresi accesso, rettifica, cancellazione, limitazione, portabilità, opposizione al trattamento basato sul legittimo interesse e revoca del consenso senza pregiudizio per le attività già effettuate. Bisogna spiegare come esercitarli, in quali tempi l’impresa risponderà, e il diritto di proporre reclamo al Garante per la protezione dei dati personali, riportandone i contatti. Se sono presenti decisioni automatizzate o forme di profilazione che producono effetti giuridici o incidono significativamente sugli interessati, l’informativa deve descrivere la logica utilizzata, l’importanza e le conseguenze previste, nonché il diritto di ottenere l’intervento umano, esprimere la propria opinione e contestare la decisione. Anche quando non vi sono decisioni automatizzate rilevanti, ma si usano strumenti come algoritmi di ottimizzazione dei turni o analisi delle prestazioni, è opportuno chiarirlo con trasparenza.
Per il contesto specifico dei cantieri è importante spiegare come avviene l’informativa pratica sul posto, ad esempio mediante cartellonistica per la videosorveglianza con rimando all’informativa estesa via QR code, la consegna dell’informativa a subappaltatori e visitatori che rilasciano dati per l’accesso, e l’integrazione con i piani di sicurezza che contengono dati personali. Se l’azienda gestisce un sito web o canali digitali, l’informativa deve coprire moduli di contatto, aree riservate per fornitori, portali HR e cookie, distinguendo cookie tecnici da quelli analitici e di profilazione e descrivendo la gestione del consenso conforme. Se è attivo un canale di whistleblowing, occorre una sezione dedicata che indichi le basi giuridiche, le categorie di dati trattati anche se sensibili o relativi a terzi, le misure di confidenzialità e i tempi di conservazione delle segnalazioni.
Infine, l’informativa deve descrivere in termini comprensibili le principali misure di sicurezza e governance adottate a protezione dei dati, come politiche di controllo degli accessi, segregazione dei ruoli tra medico competente e datore di lavoro, cifratura e pseudonimizzazione quando opportuno, istruzioni e formazione del personale, gestione dei data breach con canali di segnalazione interni, selezione e audit dei responsabili esterni. È utile indicare se per trattamenti a rischio elevato, come videosorveglianza estesa o geolocalizzazione sistematica, è stata svolta una valutazione d’impatto e, senza entrare in dettagli tecnici, rassicurare sull’adozione del principio di minimizzazione. Tutto il testo deve essere chiaro, sintetico ma completo, scritto in un linguaggio comprensibile alle diverse tipologie di interessati e facilmente accessibile in cantiere, in sede e online, con versioni distinte o sezioni dedicate quando cambiano finalità, basi giuridiche, categorie di dati o tempi di conservazione, ad esempio tra gestione del personale, fornitori, clienti, visitatori e candidati.
Esempio Informativa privacy imprese edili
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”), la presente informativa descrive il trattamento dei dati personali effettuato da _______________ in relazione alle attività d’impresa edile svolte in sede, in cantiere e online.
Titolare del trattamento
– Denominazione sociale: _______________
– Sede legale: _______________
– Sedi operative/cantieri: _______________
– P. IVA/C.F.: _______________
– E-mail: _______________
– PEC: _______________
– Telefono: _______________
Referente privacy e/o DPO
– Referente privacy: _______________ (e-mail: _______________)
– DPO (se nominato): _______________ (e-mail: _______________; PEC: _______________)
Categorie di interessati
– Clienti/committenti privati e pubblici e loro rappresentanti
– Fornitori, subappaltatori, consulenti e loro referenti
– Dipendenti, collaboratori, stagisti e lavoratori in somministrazione
– Candidati alla selezione del personale
– Visitatori dei cantieri/uffici
– Utenti del sito web e dei canali digitali aziendali
Tipologie di dati trattati
– Dati identificativi e di contatto (nome, cognome, ruolo, indirizzo, e-mail, telefono): _______________
– Dati contrattuali, amministrativi, fiscali e di fatturazione: _______________
– Dati bancari e di pagamento (IBAN, estremi incasso): _______________
– Dati relativi all’accesso in cantiere/uffici (registri accessi, badge, tessere riconoscimento): _______________
– Dati tecnici-operativi (piani di sicurezza, documentazione cantiere, attestati, DURC): _______________
– Immagini e riprese da sistemi di videosorveglianza: _______________
– Dati di geolocalizzazione di mezzi/dispositivi aziendali, se utilizzati: _______________
– Dati appartenenti a categorie particolari (art. 9 GDPR) limitati e pertinenti alle finalità di salute e sicurezza sul lavoro (idoneità alla mansione, sorveglianza sanitaria, infortuni) nei limiti di legge: _______________
– Dati giudiziari (art. 10 GDPR) in casi previsti (verifiche antimafia, white list, interdittive): _______________
Provenienza dei dati
– Direttamente dall’interessato: _______________
– Datore di lavoro del soggetto (es. personale di fornitori/subappaltatori): _______________
– Banche dati/registri pubblici e sistemi di verifica (Registro Imprese, Casse Edili, INPS/INAIL, ANAC, white list, DURC): _______________
– Sistemi informativi aziendali, controllo accessi, videosorveglianza e dispositivi in uso: _______________
– Sito web, form di contatto e canali digitali: _______________
Finalità e basi giuridiche del trattamento
– Gestione di preventivi, offerte e rapporti contrattuali con clienti e fornitori/subappaltatori (art. 6.1.b GDPR): _______________
– Adempimenti di legge, regolamentari e ordini di autorità (contabili, fiscali, antimafia, tracciabilità, sicurezza sul lavoro ex D.Lgs. 81/2008) (art. 6.1.c; art. 9.2.b/h; art. 10 GDPR): _______________
– Gestione cantieri, pianificazione e coordinamento operazioni, controllo accessi e logistica (art. 6.1.b/c/f): _______________
– Tutela del patrimonio aziendale, sicurezza di persone e beni, prevenzione frodi, gestione del contenzioso, videosorveglianza ove installata (art. 6.1.f; rispetto della normativa lavoristica e dei provvedimenti del Garante): _______________
– Gestione rapporti con istituti assicurativi e di credito, pagamenti e incassi (art. 6.1.b/c/f): _______________
– Selezione e reclutamento del personale (art. 6.1.b/f; per eventuali categorie particolari art. 9.2.b o consenso art. 9.2.a): _______________
– Comunicazioni commerciali e marketing (newsletter, inviti a eventi) previo consenso (art. 6.1.a), revocabile in ogni momento: _______________
– Gestione del sito web, riscontro a richieste e manutenzione IT (art. 6.1.b/f) e uso cookie secondo informativa specifica: _______________
– Eventuale geolocalizzazione di mezzi/dispositivi per esigenze di sicurezza, ottimizzazione operativa e tutela del credito, con valutazione d’impatto ove richiesta (art. 6.1.f): _______________
Natura del conferimento
– Necessario per obblighi di legge e/o contrattuali; il mancato conferimento può impedire l’instaurazione o l’esecuzione del rapporto: _______________
– Facoltativo per finalità di marketing e comunicazioni promozionali; il rifiuto non incide sulle altre finalità: _______________
Destinatari o categorie di destinatari
– Personale autorizzato del Titolare e soggetti che operano sotto la sua autorità: _______________
– Responsabili del trattamento (fornitori IT/cloud, manutentori, consulenti fiscali/legali, payroll, medicina del lavoro, RSPP, HSE, sicurezza/vigilanza, laboratori/tecnici, assicurazioni, banche, società di trasporto): _______________
– Enti e autorità pubbliche nei limiti di legge (ANAC, Prefetture, Casse Edili, INPS/INAIL, Agenzia delle Entrate, Ispettorati, Autorità giudiziaria): _______________
– Altri soggetti contrattuali coinvolti nel cantiere (committenti, CSP/CSE, general contractor, subappaltatori) nei limiti di necessità: _______________
Trasferimenti extra UE/SEE
– Non previsti / Previsti verso _______________ con garanzie adeguate ai sensi degli artt. 45-49 GDPR (es. decisioni di adeguatezza, Clausole Contrattuali Standard, misure supplementari): _______________
– Copie delle garanzie sono disponibili su richiesta: _______________
Tempi di conservazione
– Dati contrattuali, amministrativi e fiscali: per la durata del rapporto e fino a _______________ anni successivi alla sua cessazione e/o ai termini di legge
– Documentazione di cantiere e sicurezza (D.Lgs. 81/2008): per i tempi previsti dalla normativa applicabile e comunque non oltre _______________
– Dati di selezione del personale: fino a _______________ mesi dalla raccolta, salvo diverso consenso
– Dati per tutela giudiziaria/credito: fino a definizione del contenzioso e dei termini di prescrizione/decadenza applicabili, e comunque non oltre _______________
– Videosorveglianza: di regola _______________ ore/giorni, salvo specifiche esigenze legittime documentate
– Dati per marketing: fino a revoca del consenso e/o per _______________ anni dall’ultima interazione utile
– Log di accesso a siti/uffici/cantieri e sistemi informativi: _______________
Modalità del trattamento e sicurezza
– Trattamenti effettuati con strumenti cartacei e/o elettronici, secondo principi di liceità, correttezza, trasparenza, minimizzazione e integrità, con misure tecniche e organizzative adeguate (controlli accessi, cifratura/pseudonimizzazione ove opportuno, backup, tracciamento, policy e formazione): _______________
– I dati sono trattati da personale istruito e autorizzato, nel rispetto del segreto professionale e degli obblighi di riservatezza: _______________
Processi decisionali automatizzati e profilazione
– Non è previsto alcun processo decisionale automatizzato, inclusa la profilazione, che produca effetti giuridici o incida in modo analogo significativamente sull’interessato: _______________
– Eventuali attività di profilazione per finalità di marketing avverranno solo previo consenso e con possibilità di opposizione/revoca in qualsiasi momento: _______________
Diritti degli interessati
– Accesso, rettifica, aggiornamento (artt. 15-16 GDPR)
– Cancellazione e limitazione (artt. 17-18 GDPR) nei limiti applicabili
– Portabilità (art. 20 GDPR), ove tecnicamente fattibile e applicabile
– Opposizione al trattamento basato sul legittimo interesse e al marketing diretto (art. 21 GDPR)
– Revoca del consenso (art. 7.3 GDPR) senza pregiudizio per i trattamenti già effettuati
– Reclamo all’Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it; PEC: protocollo@pec.gpdp.it; indirizzo: Piazza Venezia 11, 00187 Roma)
Esercizio dei diritti e contatti
– Per richieste e diritti privacy: _______________ (e-mail) / _______________ (PEC) / _______________ (indirizzo postale)
– Contatto del DPO (se nominato): _______________
Videosorveglianza (se presente)
– Finalità: sicurezza di persone e beni, tutela del patrimonio, prevenzione atti illeciti e supporto alla gestione di eventi di sicurezza in cantiere/uffici: _______________
– Base giuridica: legittimo interesse del Titolare (art. 6.1.f GDPR) e adempimento di obblighi di legge ove applicabili: _______________
– Ubicazione sistemi e tempi di conservazione: _______________
– Informazioni esposte mediante apposita segnaletica: _______________
Sito web e cookie
– La navigazione sul sito _______________ comporta il trattamento di dati tecnici e di navigazione per finalità di sicurezza e funzionalità; per i cookie e strumenti analoghi si rinvia alla cookie policy: _______________ (link)
Aggiornamenti dell’informativa
– La presente informativa potrà essere aggiornata; la versione corrente è pubblicata su _______________ e disponibile presso _______________
– Data di entrata in vigore/ultimo aggiornamento: _______________