L’informativa privacy di uno studio di ingegneria è il documento, richiesto dal GDPR, che spiega in modo chiaro come vengono raccolti, utilizzati, condivisi e conservati i dati personali di clienti, fornitori, collaboratori e candidati. Indica quali dati si trattano e per quali finalità tipiche dell’attività, come gestione di incarichi e pratiche tecniche, sicurezza dei cantieri, contabilità e adempimenti legali, precisando basi giuridiche, tempi di conservazione, destinatari e misure di sicurezza. Spiega inoltre come esercitare i diritti degli interessati e fornisce i contatti del titolare o del DPO. Serve a garantire trasparenza, tutelare le persone, dimostrare conformità normativa e rafforzare la fiducia nei confronti dello studio, anche quando pubblicata sul sito o fornita al momento della raccolta dei dati.
Come scrivere Informativa privacy studio ingegneria
Un’informativa privacy per uno studio di ingegneria deve essere redatta in modo chiaro, trasparente e facilmente accessibile, in conformità agli articoli 12–14 del Regolamento (UE) 2016/679 e al Codice Privacy italiano, indicando innanzitutto chi è il titolare del trattamento, con la denominazione completa dello studio, l’indirizzo della sede, i recapiti generali e un canale di contatto dedicato alle richieste privacy. Se lo studio ha nominato un Responsabile della protezione dei dati, vanno riportati i relativi estremi e recapiti. Quando l’attività è svolta in partnership o in raggruppamento temporaneo di professionisti e vi sono contitolari, vanno spiegati in modo sintetico gli ambiti di responsabilità e il punto di contatto unico per gli interessati; se invece lo studio affida trattamenti a fornitori esterni, deve indicare che operano come responsabili del trattamento, nominati con apposito accordo ex art. 28 GDPR.
L’informativa deve spiegare quali categorie di persone sono interessate dai trattamenti e quali dati sono raccolti. Per uno studio di ingegneria ciò include in genere clienti persone fisiche e referenti di clienti aziendali, fornitori e consulenti, professionisti coinvolti nei progetti, controparti e soggetti terzi nei fascicoli tecnici e nelle pratiche edilizie, dipendenti e collaboratori, candidati in selezione, visitatori dei locali e utenti del sito web. Le tipologie di dati comprendono dati identificativi e di contatto, dati fiscali e bancari, dati professionali e relativi all’incarico, contenuti tecnici dei progetti e dei rilievi, immagini e video raccolti in cantiere o con droni, dati di localizzazione, metadati e log di accesso ai sistemi informatici. Potrebbero occasionalmente essere trattate categorie particolari, ad esempio informazioni sanitarie fornite dal cliente per esigenze di accessibilità o sicurezza, o dati biometrici se si usano sistemi di controllo accessi; in tali casi l’informativa deve segnalare la natura speciale di tali dati e la specifica base giuridica che legittima il trattamento ai sensi dell’art. 9 GDPR, normalmente l’esplicito consenso dell’interessato o, in casi limitati, altre condizioni previste dalla legge. Se si trattano dati relativi a condanne penali e reati, l’informativa deve chiarire il fondamento normativo ai sensi dell’art. 10 GDPR.
È essenziale illustrare in modo puntuale le finalità del trattamento e le corrispondenti basi giuridiche. Per la gestione dei rapporti precontrattuali e contrattuali con clienti e fornitori, la base è l’esecuzione di misure precontrattuali o di un contratto; per gli adempimenti di legge in materia fiscale, contabile, edilizia e sicurezza sui luoghi di lavoro, la base è l’adempimento di obblighi legali; per la tutela dei diritti in sede giudiziaria o stragiudiziale, la base è il legittimo interesse del titolare o, per categorie particolari di dati, l’eccezione relativa all’accertamento, esercizio o difesa di un diritto. Per le attività di sicurezza fisica e logica, come la videosorveglianza dei locali, la gestione dei registri visitatori e la prevenzione di accessi non autorizzati, la base è il legittimo interesse, bilanciato con i diritti degli interessati e nel rispetto delle indicazioni del Garante. Per le comunicazioni informative e commerciali rivolte ai propri clienti su servizi analoghi si può invocare il cosiddetto soft spam secondo la normativa italiana, fermo restando il diritto di opposizione in ogni momento; per newsletter o marketing verso non clienti, la base è il consenso. Per il reclutamento e la gestione delle candidature la base è l’esecuzione di misure precontrattuali e, ove inseriti dati particolari in un CV non richiesti, l’informativa deve chiarire che tali informazioni non saranno considerate se non strettamente necessarie e con idonea base giuridica. L’uso del sito web e dei moduli di contatto comporta il trattamento dei dati trasmessi volontariamente e dei log tecnici per finalità di erogazione del servizio e sicurezza; per cookie e tecnologie di tracciamento non tecnici è necessario il consenso, che deve essere gestito tramite apposito banner e informativa cookie correlata. Se lo studio svolge monitoraggi tecnologici su edifici, sensori IoT o rilievi aerei, va chiarito lo scopo di tali trattamenti, la minimizzazione dei dati, l’eventuale anonimizzazione e la base giuridica più idonea, di regola il contratto con il committente o il legittimo interesse, con analisi d’impatto se i trattamenti presentano rischi elevati.
L’informativa deve specificare se il conferimento dei dati è obbligatorio o facoltativo per ciascuna finalità e quali sono le conseguenze del rifiuto, ad esempio l’impossibilità di concludere o eseguire il contratto o di dare seguito a richieste di preventivo quando mancano i dati essenziali. Va inoltre descritto in termini comprensibili come avviene il trattamento, con riferimento alle modalità elettroniche e cartacee, all’applicazione del principio di minimizzazione, alla separazione dei dati per finalità, al controllo degli accessi e all’adozione di misure tecniche e organizzative adeguate al rischio, quali cifratura dei dispositivi mobili, autenticazione forte, backup, registrazione dei log e formazione del personale autorizzato, evitando però di esporre dettagli che possano compromettere la sicurezza.
La sezione sulla conservazione deve indicare i tempi o i criteri utilizzati per determinare la durata. In ambito professionale è prassi conservare i fascicoli di progetto per il tempo necessario all’esecuzione dell’incarico e per la durata dei termini di legge e di prescrizione delle responsabilità professionali, con archiviazione a lungo termine se vi sono contenziosi o richieste dell’autorità; i documenti amministrativi e contabili si conservano per i termini fiscali e civilistici applicabili; i dati raccolti per selezione del personale si mantengono per un periodo limitato, proporzionato alle esigenze di valutazione delle candidature; i dati di videosorveglianza, se presenti, si cancellano di norma entro poche decine di ore salvo esigenze di ulteriore conservazione in caso di illeciti; i dati usati per finalità di marketing si trattano fino alla revoca del consenso o all’esercizio del diritto di opposizione, con riesami periodici per verificare l’aggiornamento degli interessi degli utenti.
Occorre poi indicare a chi possono essere comunicati i dati. All’interno dello studio vi accedono solo persone autorizzate per specifiche finalità; all’esterno i destinatari tipici comprendono fornitori di servizi IT e cloud, consulenti fiscali e legali, compagnie assicurative e broker, laboratori e organismi di certificazione, società di ingegneria o professionisti incaricati come subappaltatori, banche per i pagamenti, autorità e amministrazioni pubbliche competenti per pratiche edilizie, catasto, prevenzione incendi e sicurezza, nonché autorità giudiziarie e forze dell’ordine quando previsto dalla legge. Se il progetto coinvolge committenti, appaltatori o controparti, i dati strettamente necessari possono essere condivisi per la corretta esecuzione dell’incarico. L’informativa deve chiarire che i responsabili del trattamento agiscono sulla base di istruzioni documentate e sono vincolati alla riservatezza.
Se i dati vengono trasferiti fuori dallo Spazio economico europeo, ad esempio perché si usano servizi cloud con server extra UE o si collabora con partner internazionali, l’informativa deve indicare i paesi di destinazione, l’esistenza o meno di decisioni di adeguatezza della Commissione e le garanzie applicate, come le Clausole contrattuali standard e, se del caso, misure supplementari, informando gli interessati su come ottenere copia delle garanzie. È buona prassi dichiarare la localizzazione prevalente dei dati e gli strumenti che assicurano un livello di protezione sostanzialmente equivalente.
Deve essere esplicitato se avvengono processi decisionali automatizzati o profilazione. In genere uno studio di ingegneria non effettua decisioni che producano effetti giuridici basate unicamente su trattamenti automatizzati; qualora si utilizzino strumenti di scoring o analisi automatica per fini organizzativi o di sicurezza, l’informativa deve descrivere la logica di base, l’importanza e le conseguenze previste per gli interessati e i diritti di intervento umano e contestazione.
I diritti degli interessati vanno illustrati in modo completo, comprendendo accesso, rettifica, cancellazione, limitazione, portabilità, opposizione al trattamento basato su legittimo interesse o per finalità di marketing, e la possibilità di revocare in qualsiasi momento il consenso senza pregiudicare la liceità del trattamento antecedente. Devono essere spiegate le modalità per esercitarli, i tempi di risposta, normalmente entro un mese, e il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali con i relativi recapiti. Se lo studio è tenuto a identificare l’interessato prima di rispondere, è utile precisare che potrebbero essere richieste informazioni per verificarne l’identità.
L’informativa deve considerare ambiti specifici tipici del settore. Se è installato un sistema di videosorveglianza, oltre all’informativa estesa va garantita l’informativa breve mediante cartelli, con indicazione del titolare, delle finalità e dei tempi di conservazione, e occorre verificare gli adempimenti in materia di rapporti di lavoro. Se sono impiegati droni per rilievi, è opportuno descrivere le misure per evitare riprese eccedenti, la gestione delle aree interessate e la riduzione dei dati relativi a persone non coinvolte nel progetto. Se vengono trattati dati di minori, ad esempio in progetti scolastici o residenziali, bisogna indicare le cautele adottate e, quando necessario, la raccolta del consenso dei titolari della responsabilità genitoriale. Per i siti web vanno spiegati i trattamenti connessi alla navigazione, all’uso di moduli online, all’integrazione di mappe o contenuti di terze parti e rinviare all’informativa cookie per i dettagli sui tracciatori, mantenendo coerenza tra banner, preferenze e banca dati dei consensi.
Infine, l’informativa dovrebbe indicare la data dell’ultimo aggiornamento e spiegare come saranno comunicate eventuali modifiche sostanziali. Tutti i contenuti devono essere adattati ai trattamenti effettivamente svolti dallo studio, evitando formule generiche e assicurando che ogni finalità sia collegata a una base giuridica, a specifici destinatari, a tempi di conservazione e a un set coerente di misure di tutela, così da garantire un’informazione completa e comprensibile agli interessati.
Esempio Informativa privacy studio ingegneria
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e del D.Lgs. 196/2003 e s.m.i., si forniscono le seguenti informazioni sul trattamento dei dati personali effettuato dallo Studio di ingegneria.
Titolare del trattamento
– Denominazione/Ragione sociale: _______________
– Sede legale: _______________
– Sede operativa (se diversa): _______________
– P. IVA/C.F.: _______________
– E-mail: _______________
– PEC: _______________
– Telefono: _______________
– Sito web: _______________
– Referente privacy (se nominato): _______________
Responsabile della protezione dei dati (DPO)
– DPO (se nominato): _______________
– Contatti DPO: _______________
Categorie di interessati
– Clienti e potenziali clienti, loro referenti e dipendenti
– Fornitori e consulenti, loro referenti e dipendenti
– Visitatori del sito web e utenti dei canali digitali
– Candidati a posizioni lavorative/collaborazioni
– Visitatori dei locali (anche ai fini di controllo accessi e, ove presente, videosorveglianza)
Tipologie di dati trattati
– Dati anagrafici e identificativi (nome, cognome, azienda, qualifica, C.F./P.IVA)
– Dati di contatto (indirizzo, e-mail, PEC, telefono)
– Dati contrattuali, contabili e di pagamento/fatturazione
– Dati tecnici e di progetto, documentazione e corrispondenza
– Dati relativi all’accesso a cantieri/aree di lavoro e alla sicurezza
– Dati di navigazione, log tecnici e identificativi online
– Dati contenuti nei CV e nelle candidature
– Eventuali dati particolari ex art. 9 GDPR trattati solo se strettamente necessari per obblighi in materia di salute e sicurezza sul lavoro, idoneità e prevenzione infortuni, o per l’accertamento, esercizio o difesa di un diritto
Finalità e basi giuridiche del trattamento
– Gestione di richieste di informazioni, preventivi e contatti precontrattuali (art. 6.1.b GDPR)
– Esecuzione di contratti di ingegneria/consulenza, progettazione, direzione lavori, collaudi e attività connesse (art. 6.1.b GDPR)
– Adempimento di obblighi di legge e regolamentari (fiscali, contabili, antiriciclaggio, tracciabilità, sicurezza nei cantieri e sul lavoro) (art. 6.1.c GDPR)
– Tutela dei diritti del Titolare, prevenzione abusi e frodi, sicurezza dei sistemi e dei locali (art. 6.1.f GDPR)
– Gestione dei fornitori, pagamenti, audit e qualifiche (art. 6.1.b e 6.1.f GDPR)
– Invio di comunicazioni su servizi analoghi a quelli già acquistati (c.d. soft spam), salvo opposizione (art. 6.1.f GDPR e art. 130, c. 4 Codice Privacy)
– Attività di marketing, newsletter, eventi e indagini di soddisfazione, previo consenso (art. 6.1.a GDPR)
– Selezione e valutazione del personale/collaboratori, misure precontrattuali su richiesta dell’interessato (art. 6.1.b GDPR; per eventuali dati particolari, art. 9.2 b/e GDPR)
– Videosorveglianza e controllo accessi, ove attivi, per sicurezza e tutela del patrimonio (art. 6.1.f GDPR; obblighi di legge ove applicabili)
Fonte dei dati
– Dati forniti direttamente dall’interessato
– Dati acquisiti da soggetti terzi legittimati (es. partner, committenti, banche dati pubbliche, albi professionali, piattaforme di procurement), nei limiti delle finalità indicate
Conferimento dei dati
– Necessario per finalità contrattuali e di legge; il mancato conferimento comporta l’impossibilità di erogare i servizi o adempiere agli obblighi
– Facoltativo per finalità di marketing; il mancato consenso non pregiudica gli altri rapporti
Destinatari o categorie di destinatari
– Personale autorizzato del Titolare e collaboratori
– Consulenti e professionisti (es. legali, fiscali, HSE), società di revisione
– Fornitori IT e cloud, provider di posta elettronica, hosting, PEC, gestione documentale e firma elettronica, CRM, strumenti di videoconferenza
– Istituti di credito, compagnie assicurative e broker
– Soggetti coinvolti nei progetti (committenti, partner, subappaltatori) nei limiti di necessità
– Pubbliche amministrazioni, autorità competenti e organismi di vigilanza, se obbligatorio
– Elenco dei responsabili del trattamento disponibile su richiesta a _______________
Trasferimenti verso Paesi extra UE/SEE
– I dati sono trattati prevalentemente all’interno dell’UE/SEE. In caso di trasferimenti verso Paesi terzi, questi avverranno nel rispetto degli artt. 44-49 GDPR, con adeguate garanzie (es. Clausole Contrattuali Standard) e, se necessario, misure supplementari. Informazioni su tali garanzie sono disponibili scrivendo a _______________
Periodo di conservazione dei dati
– Dati contrattuali, amministrativi e contabili: per la durata del rapporto e successivamente per 10 anni (o per ulteriori periodi prescrizionali in caso di contenziosi)
– Documentazione di progetto e corrispondenza: per la durata del progetto e fino a _______________
– Adempimenti in materia di salute e sicurezza, cantieri e tracciabilità: per i periodi previsti dalla legge e fino a _______________ in caso di verifiche/controlli
– Preventivi e contatti commerciali non seguiti da contratto: fino a _______________
– Marketing e newsletter: fino a revoca del consenso e, in assenza di interazioni, non oltre _______________
– Dati di candidati: fino a _______________ o per il diverso periodo autorizzato dall’interessato
– Log tecnici e di sicurezza: fino a _______________
– Videosorveglianza (se attiva): di norma _______________ ore/giorni, salvo esigenze di ulteriore conservazione in caso di eventi o richieste dell’autorità
Modalità del trattamento e sicurezza
– Trattamenti effettuati con strumenti elettronici e cartacei, secondo principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione
– Adozione di misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, la riservatezza, l’integrità e la disponibilità
– Accesso ai soli soggetti autorizzati, istruiti e vincolati alla riservatezza
Processi decisionali automatizzati e profilazione
– Non si effettuano processi decisionali automatizzati che producano effetti giuridici sull’interessato o che incidano significativamente su di lui. Eventuali attività di profilazione per finalità di marketing saranno svolte esclusivamente previo consenso e con diritto di opposizione/revoca in qualsiasi momento
Diritti dell’interessato
– Accesso ai dati, rettifica, aggiornamento, integrazione
– Cancellazione, limitazione e opposizione al trattamento
– Portabilità dei dati
– Revoca del consenso, ove prestato, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca
– Diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) o all’autorità di controllo del proprio Paese di residenza
Esercizio dei diritti e contatti
– Per esercitare i diritti o per informazioni sul trattamento: _______________ (indirizzo postale), _______________ (e-mail), _______________ (PEC)
– Oggetto della comunicazione: “Esercizio diritti privacy – _______________”
– Il Titolare può richiedere informazioni necessarie a verificare l’identità del richiedente
Comunicazioni di terzi e dati di terzi
– Qualora l’interessato comunichi dati di terzi, garantisce di averli informati e di aver raccolto, ove necessario, il loro consenso, manlevando il Titolare da qualsiasi responsabilità verso tali terzi
Minori
– I servizi non sono destinati a minori di anni _______________. Eventuali dati forniti saranno cancellati senza indugio
Cookie e strumenti di tracciamento
– Le informazioni sull’uso dei cookie e tecnologie simili sono disponibili nella Cookie Policy: _______________/cookie-policy
Aggiornamenti dell’informativa
– Il Titolare può modificare la presente informativa per adeguarla a variazioni normative o ai trattamenti. La versione aggiornata è disponibile su _______________ e su richiesta a _______________
Data di ultimo aggiornamento: _______________