Privacy Policy

Ultimo aggiornamento: 14 maggio 2026

In sintesi

CantiereApp è uno strumento di lavoro che fa da tramitetra l'impresa edile e i suoi dipendenti per la gestione di presenze, contabilità e condivisione documenti. NON è un sistema di conservazione sostitutiva ai sensi del DM 17 giugno 2014. L'archivio fiscale legale (busta paga, Libro Unico, contratti) resta responsabilità del datore di lavoro.

1. Ruoli e responsabilità (Controller / Processor)

CantiereApp tratta due tipologie di dati personali con due ruoli diversi ai sensi del GDPR:

  • Titolare del trattamento (Data Controller) — Emanuel Chelariu, con sede in Italia, è titolare per i dati raccolti direttamente dall'utente imprenditore/manager che si registra (account, dati aziendali, dati di fatturazione, log tecnici per sicurezza).
  • Responsabile del trattamento (Data Processor, Art. 28 GDPR) — quando l'azienda cliente carica dati relativi ai propri dipendenti (anagrafica, presenze, rimborsi, buste paga, contratti, scadenze sicurezza), l'azienda cliente è il Titolaredi quei dati e CantiereApp agisce in qualità di Responsabile del trattamento. L'accettazione dei Termini di Servizio al momento della registrazione vale come contratto Art. 28 GDPR (DPA — Data Processing Agreement). I dipendenti che desiderano esercitare i loro diritti (Art. 15-22 GDPR) sui dati gestiti dal proprio datore di lavoro devono rivolgersi al datore di lavoro stesso (Titolare), non a CantiereApp.

Per qualsiasi richiesta sul ruolo di Titolare di CantiereApp puoi contattarci a info@cantiereapp.net.

2. Dati raccolti

CantiereApp raccoglie e tratta i seguenti dati personali:

  • Dati di account: email, nome, password (hash bcrypt 12 round)
  • Dati aziendali: ragione sociale, partita IVA, indirizzo, telefono, email notifiche
  • Dati dei dipendenti(inseriti dall'azienda cliente): nome, cognome, codice fiscale, IBAN, tipologia di pagamento, tariffe, presenze, rimborsi, scadenze documenti e corsi di sicurezza
  • Documenti caricati(piano Completo): contratti di lavoro e buste paga in formato PDF, caricati dal datore di lavoro per essere resi accessibili in lettura ai dipendenti dal proprio profilo mobile. I file sono cifrati a riposo (Cloudflare R2 AES-256), accessibili solo tramite link firmati a tempo (10 minuti TTL), niente accesso pubblico. Ogni download/preview viene loggato nell'audit trail.
  • Dati tecnici: indirizzo IP, identificativo dispositivo, log delle richieste (per sicurezza)
  • Dati di abbonamento: tier sottoscritto, date di scadenza, identificatore anonimo RevenueCat (non contiene informazioni personali)

3. Finalità del trattamento

I dati sono trattati per:

  • Fornitura del servizio (presenze, contabilità, scadenze, condivisione documenti dipendenti)
  • Gestione abbonamento e fatturazione (tramite Apple / Google Play)
  • Invio email transazionali (conferma registrazione, reset password, notifiche scadenze, inviti utenti)
  • Sicurezza, prevenzione frodi, rispetto degli obblighi di legge

4. Base giuridica

Il trattamento si basa su:

  • Esecuzione del contratto (Art. 6.1.b GDPR) per la fornitura del servizio
  • Consenso (Art. 6.1.a GDPR) per le notifiche push e marketing (revocabile in qualsiasi momento)
  • Interesse legittimo (Art. 6.1.f GDPR) per finalità di sicurezza, prevenzione frodi e log tecnici
  • Obbligo legale (Art. 6.1.c GDPR) per conservazione documenti fiscali (vedi sez. 5)

5. Conservazione dei dati e disclaimer fiscale

I dati di account e aziendali sono conservati per la durata dell'abbonamento. Alla chiusura dell'account, tutti i dati personali e i documenti caricati vengono eliminati entro 30 giorni dallo storage Cloudflare R2 (EU) e dal database. La cancellazione è definitiva e i file non sono più recuperabili.

⚠️ Importante — disclaimer conservazione fiscale

CantiereApp NON è un sistema di conservazione sostitutiva ai sensi del DM 17 giugno 2014 e non sostituisce l'archivio fiscale ufficiale dell'azienda cliente. Lo scopo della funzione "Documenti dipendente" è quello di fare da tramite tra il datore di lavoro e il dipendente, per consentire al dipendente l'accesso rapido e comodo alle proprie buste paga e al proprio contratto di lavoro dal telefono.

È responsabilità esclusiva del datore di lavoro:

  • Conservare l'originale fiscale (cartaceo o digitale con conservazione sostitutiva AgID-conforme) delle buste paga per il periodo previsto dalla legge italiana (10 anni per documenti contabili/fiscali ai sensi del DPR 633/72, 5 anni per il Libro Unico del Lavoro ai sensi del DLgs 81/08, e quanto previsto dal CCNL applicabile)
  • Avere un proprio backup indipendente dei contratti di lavoro firmati
  • Adempiere agli obblighi di consegna originale della busta paga al dipendente, come previsto dalla legge (la visualizzazione tramite CantiereApp non sostituisce la consegna ufficiale)

CantiereApp non garantisce la disponibilità dei documenti caricati oltre la durata dell'abbonamento e non assume responsabilità per eventuali inadempienze fiscali del cliente derivanti dalla mancata conservazione autonoma dei propri documenti.

6. Sub-processors e trasferimenti

CantiereApp utilizza i seguenti fornitori (data sub-processors) per l'erogazione del servizio:

  • Neon(Postgres hosting) — eu-central-1 (Francoforte, Germania), trattamento all'interno dello SEE
  • Cloudflare R2 (storage documenti, piano Completo) — regione Western Europe (EU), file cifrati a riposo AES-256, accesso solo tramite link firmati a tempo
  • Vercel (hosting applicazione) — USA, trasferimento extra-SEE protetto da Standard Contractual Clauses (SCC) Art. 46 GDPR e Data Processing Agreement
  • Resend (email transazionali) — UE, niente trasferimento extra-SEE
  • Apple / Google — gestione pagamenti in-app (privacy policy proprie)
  • RevenueCat — gestione abbonamenti (identificatore anonimo `companyId`, no PII)
  • Sentry (monitoraggio errori) — UE, solo dati tecnici (no email, no name)
  • PostHog (analytics) — EU host, no PII, no third-party cookie

Non vendiamo né cediamo i tuoi dati personali a terze parti per finalità di marketing.

Modifiche all'elenco sub-processors saranno comunicate tramite aggiornamento di questa pagina con preavviso di 30 giorni se sostanziali.

7. Diritti dell'utente

Hai diritto, ai sensi degli Art. 15-22 GDPR, a:

  • Accedere ai tuoi dati personali
  • Richiedere la rettifica o cancellazione
  • Limitare o opporti al trattamento
  • Richiedere la portabilità dei dati in formato strutturato
  • Revocare il consenso in qualsiasi momento
  • Presentare reclamo al Garante per la Protezione dei Dati Personali

Puoi cancellare il tuo account direttamente dall'app (Profilo → Cancella account) o scrivendo a info@cantiereapp.net. Risponderemo entro 30 giorni dalla richiesta.

Sei un dipendente?

Se sei un dipendente che usa CantiereApp tramite il proprio datore di lavoro, per richieste sui tuoi dati personali (anagrafica, busta paga, presenze) devi rivolgerti al tuo datore di lavoro, che è il Titolare del trattamento di tali dati. CantiereApp agisce solo come Responsabile del trattamento per conto suo. Vedi anche la pagina Informativa per i dipendenti.

8. Misure di sicurezza

Adottiamo misure tecniche e organizzative adeguate ai sensi dell'Art. 32 GDPR per proteggere i tuoi dati:

  • Crittografia in transito (HTTPS, TLS 1.2+)
  • Crittografia a riposo per i documenti (AES-256)
  • Hashing delle password (bcrypt 12 round)
  • Token JWT firmati con rotazione (access 15min, refresh 30gg)
  • Signed URL TTL 10min per accesso documenti R2
  • Rate limiting su API pubbliche
  • Audit log su operazioni sensibili (chi, cosa, quando)
  • Multi-tenancy con isolamento per company
  • Backup database giornalieri (Neon)

9. Notifica di violazione (Data Breach)

In caso di violazione dei dati personali con rischio per i diritti e le libertà degli interessati, CantiereApp notificherà il Garante entro 72 ore (Art. 33 GDPR) e gli interessati con ogni mezzo idoneo entro 7 giorni se il rischio è elevato (Art. 34 GDPR). L'azienda cliente sarà notificata immediatamente in caso di violazione che coinvolga i dati dei propri dipendenti.

10. Designated Data Protection Officer (DPO)

CantiereApp non è obbligataalla nomina di un Data Protection Officer ai sensi dell'Art. 37 GDPR perché: (i) non è un'autorità pubblica; (ii) le sue attività principali non consistono in monitoraggio sistematico su larga scala; (iii) non tratta categorie particolari di dati su larga scala. Per qualsiasi domanda in materia di privacy il punto di contatto è info@cantiereapp.net.

11. Trattamento dati di minori

CantiereApp è destinata a uso professionale B2B in contesto di lavoro edile. Non raccogliamo intenzionalmente dati di persone sotto i 18 anni. Se vieni a conoscenza che un minorenne ha inserito dati nell'applicazione, scrivici a info@cantiereapp.net e procederemo alla cancellazione.

12. Modifiche

Questa informativa può essere aggiornata periodicamente. Modifiche sostanziali (es. nuovi sub-processors, nuove finalità di trattamento) saranno comunicate con preavviso di 30 giorni tramite email all'indirizzo dell'account. Le modifiche minori (es. correzioni editoriali) saranno pubblicate su questa pagina con la data di ultimo aggiornamento.

13. Contatti

Per qualsiasi domanda sulla privacy o per esercitare i tuoi diritti puoi scrivere a info@cantiereapp.net. Indicare nell'oggetto "Privacy" per un riscontro più rapido.