Informativa Privacy - Justbit CMP

1. Quadro normativo e ambito di applicazione

La presente informativa disciplina, in modo unitario e sistematico, il trattamento dei dati personali effettuato da Justbit nell'ambito del portale CMP e delle sue estensioni operative. Il trattamento e impostato in conformita ai principi di liceita, correttezza, trasparenza, limitazione delle finalita, minimizzazione, esattezza, limitazione della conservazione, integrita, riservatezza e accountability previsti dall'articolo 5 del GDPR, nonche alle regole di sicurezza e governance stabilite dagli articoli 24, 25, 28, 30 e 32 del GDPR.

Per i profili attinenti ai cookie e agli strumenti analoghi, trovano applicazione, oltre al GDPR, la Direttiva 2002/58/CE (ePrivacy) come modificata, l'articolo 122 del D.lgs. 196/2003 come aggiornato dal D.lgs. 101/2018 e il Provvedimento del Garante per la protezione dei dati personali del 10 giugno 2021 recante Linee guida cookie e altri strumenti di tracciamento.

L'informativa si applica a utenti interni (dipendenti e collaboratori), utenti esterni autorizzati, referenti cliente che utilizzano funzionalita specifiche e interessati che inviano richieste tramite i form pubblici o il canale DSAR. Restano ferme eventuali informative speciali applicabili a specifici servizi esterni non gestiti direttamente da Justbit, richiamate ove necessario nelle relative sezioni.

2. Titolare del trattamento e contatti ufficiali

Il Titolare del trattamento e Justbit S.r.l., con sede legale in Piazza Benedetto Cairoli 2, 00186 Roma (RM), che determina finalita e mezzi dei trattamenti descritti nel presente documento. Il Titolare adotta un modello organizzativo basato su segregazione dei ruoli, controlli autorizzativi, tracciamento delle operazioni e revisione periodica dei presidi privacy.

Per esercitare i diritti privacy o richiedere chiarimenti e possibile contattare il Titolare all'indirizzo privacy@justbit.it oppure via PEC all'indirizzo justbit@pec.it. Le richieste ricevute sono prese in carico con workflow tracciato, nel rispetto degli articoli 12 e seguenti del GDPR.

3. Categorie di dati personali trattati

Nell'ambito del portale CMP sono trattati dati identificativi e di contatto (ad esempio nome, cognome, email professionale, ruolo), dati di autenticazione e sicurezza (log di accesso, eventi applicativi, metadata tecnici di sessione), dati operativi necessari all'erogazione dei processi di business (segnalazioni compliance, backlog operativo, integrazioni budget-timesheet-workload, metadati di provisioning servizi esterni) e dati documentali relativi alla gestione amministrativa del personale, inclusi metadati di caricamento, consultazione e rimozione dei file.

Per il modulo Password Manager (Passbolt) sono trattati dati account (identificativo utente, username/email, stato account, ruoli e appartenenza a gruppi), metadati di sicurezza e audit (timestamp accessi, eventi amministrativi, relazione utente-gruppo-cartella, log tecnici) e, ove l'utente lo configuri, immagine profilo. Il contenuto dei segreti e cifrato end-to-end e resta protetto da chiavi crittografiche dedicate.

Possono inoltre essere trattati dati connessi ai processi HR e recruiting, quali curriculum, informazioni professionali, note di valutazione interna, stati avanzamento candidatura e cronologia colloqui. Qualora il CV contenga categorie particolari di dati ai sensi dell'articolo 9 GDPR, il trattamento avviene esclusivamente entro i limiti di stretta necessita e in presenza del pertinente presupposto normativo, con misure rafforzate di riservatezza e accesso selettivo. Sono altresi trattati dati relativi ai consensi cookie, in forma coerente con i principi di minimizzazione, prova del consenso e sicurezza applicativa.

Nei flussi di integrazione possono essere trattati dati amministrativi e contabili provenienti da sistemi terzi autorizzati (ad esempio informazioni fattura o budget), unicamente per finalita organizzative, di riconciliazione operativa e adempimento di obblighi normativi pertinenti. I dati sono trattati in modo proporzionato, evitando raccolte eccedenti rispetto alla finalita dichiarata.

Per l'integrazione con TeamSystem relativa ai soli giustificativi presenze/assenze, il portale acquisisce in modo automatizzato esclusivamente i dati necessari al processo interno (identificativo persona, tipologia giustificativo, data o intervallo, eventuale fascia oraria, stato e metadati tecnici di sincronizzazione). Il flusso non e destinato alla raccolta di ulteriori informazioni HR non necessarie rispetto alla finalita dichiarata, ne alla duplicazione indiscriminata di dati presenti nel sistema sorgente.

Nell'ambito dei flussi commerciali gestiti con wizard applicativo (ad esempio preventivi, ordini di vendita, ordini di acquisto e relativi documenti operativi) possono essere trattati dati anagrafici e di contatto di clienti e fornitori, dati identificativi aziendali (quali ragione sociale, partita IVA/codice fiscale, riferimenti amministrativi), dati economici di riga (importi, tariffe, quantita, imponibili, totali), metadati di protocollo/versione e metadati documentali di generazione, upload, consultazione e storicizzazione su repository aziendale. Il trattamento e limitato ai dati necessari alla gestione tecnico-amministrativa del ciclo documentale e alla corretta esecuzione dei processi aziendali autorizzati.

4. Finalita del trattamento e basi giuridiche

I trattamenti sono svolti per finalita di gestione sicura degli accessi, amministrazione del portale, presidio dei processi operativi e controllo di gestione, manutenzione delle integrazioni tecniche, gestione delle richieste privacy e prevenzione degli abusi. Le basi giuridiche sono individuate, a seconda dei casi, nell'esecuzione di misure precontrattuali o contrattuali ai sensi dell'articolo 6, paragrafo 1, lettera b) GDPR, nell'adempimento di obblighi di legge ai sensi della lettera c), nel legittimo interesse del Titolare ai sensi della lettera f), nonche nel consenso ai sensi della lettera a) per i trattamenti che lo richiedono espressamente, come nel caso dei cookie non tecnici.

In particolare, i trattamenti funzionali alla sicurezza applicativa, alla protezione da usi impropri, al monitoraggio dei presidi di integrita e alla difesa in giudizio sono svolti sulla base del legittimo interesse del Titolare, bilanciato con i diritti e le liberta fondamentali degli interessati e supportato da misure tecniche e organizzative adeguate. I trattamenti legati a obblighi contabili, fiscali, amministrativi o di cooperazione con autorita competenti sono svolti in adempimento di obblighi normativi.

Nell'ambito del Password Manager, il trattamento e finalizzato a custodire in modo sicuro credenziali e segreti operativi di progetto, applicare controlli di accesso per gruppo, garantire auditabilita delle azioni sensibili e gestire onboarding/offboarding utenti. L'eventuale uso per credenziali personali e facoltativo e volontario: tali dati non sono utilizzati per finalita HR o disciplinari e restano soggetti alle medesime misure tecniche di protezione e riservatezza.

Il trattamento dei dati di presenza e workload, quando applicabile, e destinato a finalita organizzative, analitiche aggregate e di economics interno; non e finalizzato a sorveglianza occulta del lavoratore ne a decisioni disciplinari automatizzate. Restano fermi i limiti posti dalla normativa lavoristica, incluso l'articolo 4 della Legge 300/1970, e dalla disciplina privacy nazionale applicabile.

I trattamenti connessi al ciclo documentale commerciale (predisposizione, revisione, generazione, condivisione controllata e archiviazione di preventivi e ordini) sono svolti, a seconda del caso, per esecuzione di misure precontrattuali o contrattuali (articolo 6, paragrafo 1, lettera b), per adempimento di obblighi amministrativi, civilistici, contabili e fiscali (lettera c), nonche per legittimo interesse del Titolare alla tracciabilita operativa, alla prevenzione di contestazioni e alla tutela giudiziale (lettera f). Tali trattamenti non sono finalizzati a profilazione commerciale invasiva ne a decisioni automatizzate con effetti giuridici sull'interessato.

Il trattamento dei giustificativi importati da TeamSystem e svolto per esigenze organizzative e amministrative interne, riconciliazione operativa delle presenze e presidio di accuratezza dei registri, sulla base dell'articolo 6, paragrafo 1, lettere b), c) e f) GDPR, secondo il contesto applicabile. Anche in questo caso resta escluso qualunque uso per sorveglianza personale indiscriminata o decisioni automatizzate con effetti giuridici sull'interessato.

5. Modalita del trattamento, sicurezza e accountability

Il trattamento e effettuato con strumenti elettronici e procedure organizzative formalizzate, secondo un modello a privilegi minimi, autenticazione forte, separazione tra ambienti, controllo degli accessi, logging applicativo, tracciamento delle modifiche e verifiche periodiche di coerenza dei permessi. Le operazioni a maggiore impatto sono soggette a controlli ulteriori, inclusi vincoli tecnici, audit trail e, ove previsto, validazioni esplicite lato server.

Justbit adotta misure idonee a garantire integrita e riservatezza dei dati, incluse politiche di retention, procedure di risposta agli incidenti, segregazione dei log di sicurezza e monitoraggio della superficie di rischio. I principi di privacy by design e by default sono applicati nella progettazione evolutiva del portale, anche attraverso revisione periodica dei flussi dati, minimizzazione dei campi raccolti e disattivazione delle operazioni non strettamente necessarie.

Per i trattamenti su Passbolt sono inoltre applicati segregazione dei permessi per progetto, isolamento tra gruppi, controllo periodico delle membership, revoca tempestiva in caso di cessazione rapporto e tracciamento degli eventi amministrativi. Il Titolare mantiene trasparenza sui metadati trattati e sulle finalita di sicurezza, riducendo al minimo le informazioni interne accessibili su base need-to-know.

Per garantire continuita operativa e disaster recovery, i dati e i metadati trattati nel Password Manager, inclusi eventuali segreti personali caricati volontariamente dall'utente, possono essere inclusi in backup tecnici periodici cifrati end-to-end con chiavi crittografiche dedicate. I backup sono conservati in storage cloud con accesso strettamente controllato e non sono utilizzati per finalita ulteriori rispetto a sicurezza, ripristino operativo, tutela legale e adempimento di obblighi normativi.

I documenti generati dai wizard commerciali possono essere archiviati nel repository documentale aziendale su cloud (incluso Google Drive aziendale ove attivo), con gestione dei permessi per ruolo, segregazione per cartelle di progetto/cliente, tracciamento delle operazioni rilevanti e divieto di deposito su repository personali non autorizzati. Sono applicati controlli di integrita e coerenza tra metadati del portale e metadati del documento archiviato, al fine di preservare auditabilita e reperibilita delle evidenze.

6. Processi assistiti da AI e intervento umano

Alcuni processi, in particolare nell'area recruiting o classificazione documentale, possono avvalersi di strumenti di analisi assistita da AI per supportare attivita di estrazione, sintesi o categorizzazione. Tali funzionalita hanno natura ausiliaria e non sostituiscono il controllo umano sulle decisioni finali. Le determinazioni con effetti rilevanti sull'interessato sono assunte da personale autorizzato, con possibilita di revisione, rettifica e contestazione.

L'uso di strumenti AI e governato da regole interne di proporzionalita, limitazione della finalita, tracciabilita delle operazioni e verifica di accuratezza, nel rispetto degli articoli 22 e 35 GDPR ove applicabili. Le logiche generali del trattamento sono descritte nei registri di governance e soggette a revisione periodica.

In alcuni flussi amministrativi e contabili (ad esempio classificazione documentale da caselle Gmail aziendali, estrazione dati da allegati fattura e riconciliazione con riferimenti fornitore/ordine di acquisto), gli strumenti AI possono trattare metadati email, contenuti testuali e campi strutturati di documento esclusivamente per finalita di supporto operativo. Tali elaborazioni restano soggette a controllo umano prima di qualsiasi uso con impatto amministrativo o contabile, con registrazione delle evidenze necessarie a garantire auditabilita, contestabilita dell'output e correzione tempestiva di eventuali errori.

7. Conservazione dei dati e legal hold

I dati sono conservati per un periodo non superiore a quello necessario al conseguimento delle finalita per cui sono raccolti, nel rispetto dei termini legali e dei criteri interni di retention formalizzati. Le principali classi documentali e di log seguono durate differenziate in ragione di obblighi normativi, esigenze di sicurezza, auditabilita e tutela del Titolare in caso di contestazioni.

In presenza di contenzioso, investigazione formale o richiesta dell'autorita competente, il Titolare puo attivare misure di legal hold che sospendono i cicli ordinari di cancellazione automatica per il tempo strettamente necessario alla gestione dell'evento. Al termine della fase di hold, i processi di retention riprendono secondo i criteri approvati e documentati.

Per il Password Manager, i segreti restano disponibili finche l'account e attivo o finche non interviene cancellazione da parte dell'utente o dell'amministrazione autorizzata. In caso di disattivazione account, l'accesso e revocato e i dati sono gestiti secondo policy di retention e obblighi legali applicabili; gli utenti sono invitati a esportare o eliminare tempestivamente eventuali credenziali personali prima della disattivazione.

Le copie di backup cifrate sono soggette a retention tecnica separata, proporzionata alle esigenze di business continuity e sicurezza. L'eventuale ripristino da backup avviene solo da personale autorizzato, con tracciamento dell'operazione e su base di stretta necessita (ad esempio incidente, corruzione dati, obbligo legale o contenzioso), nel rispetto dei principi di minimizzazione e limitazione della finalita.

Per i documenti commerciali generati dal portale, la conservazione segue criteri differenziati: le bozze operative e i metadati transitori sono mantenuti per il tempo strettamente necessario al processo, mentre i documenti con rilevanza amministrativa/contabile sono conservati secondo i termini previsti dalla normativa applicabile e dalle policy interne approvate, fatti salvi eventuali obblighi di legal hold in caso di verifica, contenzioso o richiesta dell'autorita competente.

8. Destinatari, responsabili e trasferimenti

I dati possono essere trattati da personale interno autorizzato e da soggetti terzi che operano quali responsabili del trattamento ai sensi dell'articolo 28 GDPR, in base a istruzioni documentate, obblighi di riservatezza e misure di sicurezza adeguate. I fornitori tecnologici sono selezionati e governati mediante processo strutturato di qualifica, presidio contrattuale e revisione periodica.

Qualora il trattamento implichi trasferimenti verso Paesi terzi o organizzazioni internazionali, gli stessi avvengono nel rispetto degli articoli 44 e seguenti del GDPR, adottando le garanzie applicabili (ad esempio decisioni di adeguatezza, clausole contrattuali standard o altre misure riconosciute). I riferimenti ai fornitori e alle garanzie sono mantenuti nella documentazione di governance privacy.

In relazione ai flussi documentali commerciali, i destinatari possono includere, nei limiti del principio need-to-know, funzioni interne autorizzate (ad esempio area amministrazione/finanza, referenti di progetto, funzioni di controllo e governance) e fornitori tecnologici qualificati che operano come responsabili del trattamento, inclusi provider di storage collaborativo aziendale. L'accesso ai documenti e comunque sottoposto a profili autorizzativi, logging e controlli periodici di coerenza dei permessi.

9. Diritti degli interessati e canali di esercizio

L'interessato puo esercitare i diritti previsti dagli articoli 15, 16, 17, 18, 20 e 21 GDPR, nonche il diritto di revocare il consenso quando il trattamento sia fondato sull'articolo 6, paragrafo 1, lettera a), senza pregiudicare la liceita del trattamento effettuato prima della revoca. Le richieste sono gestite tramite processo DSAR tracciato e con verifica di identita proporzionata al rischio, al fine di prevenire comunicazioni indebite e garantire tutela effettiva dell'interessato.

Le istanze possono essere inviate tramite il form dedicato disponibile alla pagina Invia richiesta DSAR, via email a privacy@justbit.it o via PEC a justbit@pec.it. Qualora l'interessato ritenga lesi i propri diritti, ha facolta di proporre reclamo all'Autorita Garante ai sensi dell'articolo 77 GDPR, fatto salvo ogni altro rimedio amministrativo o giurisdizionale.

10. Aggiornamenti dell'informativa e valore delle versioni

Il presente documento e soggetto a revisione periodica, anche in ragione di evoluzioni normative, organizzative o tecnologiche. Ogni aggiornamento e pubblicato con versione e data di efficacia, in coerenza con il sistema interno di governance documentale e con i presidi di tracciamento delle accettazioni ove richieste per gli utenti autenticati.

In caso di differenze tra versioni, prevale la versione pubblicata piu recente alla data di consultazione, fatta salva l'applicazione di specifiche clausole contrattuali o informative speciali eventualmente applicabili a singoli servizi.

11. Profili di decisione automatizzata e garanzie applicate

Il Titolare non adotta, nell'ambito ordinario dei processi descritti, decisioni che producano effetti giuridici sull'interessato basate esclusivamente su trattamento automatizzato ai sensi dell'articolo 22 GDPR, salvo i casi consentiti dalla legge e adeguatamente presidiati. Gli strumenti algoritmici o assistiti da AI eventualmente impiegati hanno funzione di supporto tecnico-organizzativo e richiedono supervisione umana, con possibilita di riesame e contestazione da parte dell'interessato.

In presenza di output automatizzati rilevanti, il Titolare assicura valutazione contestuale, controllo di coerenza con i dati sorgente e tracciamento delle modifiche apportate da operatori autorizzati. Tali presidi riducono il rischio di errori sistematici e consentono verificabilita ex post in chiave di accountability e tutela effettiva dei diritti della persona.

12. Accesso per ruolo, segregazione e need-to-know

L'accesso ai dati personali e regolato da un modello autorizzativo a privilegi minimi, che prevede attribuzione di permessi per ruolo, revisione periodica degli accessi, tracciamento delle operazioni sensibili e blocco tecnico delle azioni non consentite. Le funzionalita con impatto elevato su integrita, riservatezza o disponibilita dei dati sono assoggettate a controlli ulteriori lato server e a registrazione audit.

La segregazione tra ambienti, dataset e finalita operative e adottata quale misura ordinaria per ridurre superfici di rischio, prevenire accessi eccedenti e limitare la diffusione interna non necessaria. L'utilizzo dei dati da parte del personale avviene secondo principio di stretta necessita professionale e con divieto di riuso per finalita incompatibili.

13. Integrita, qualita del dato e rettifica operativa

Il Titolare adotta controlli procedurali e tecnici per mantenere accuratezza, aggiornamento e coerenza del dato nel corso del ciclo di vita informativo. Ove emergano incongruenze o obsolescenza delle informazioni, sono attivati flussi di rettifica con evidenza delle fonti utilizzate, data di aggiornamento e operatore che ha eseguito la modifica, preservando tracciabilita e verificabilita della correzione.

L'interessato puo contribuire all'aggiornamento corretto dei propri dati attraverso i canali ufficiali di contatto e il processo DSAR; il Titolare valuta tempestivamente la richiesta e, in caso di accoglimento, propaga la correzione ai sistemi interessati nei limiti tecnicamente e giuridicamente applicabili.

14. Difesa in giudizio, contenzioso e conservazione probatoria

In presenza di controversie, precontenzioso, indagini interne o richieste di autorita competenti, il Titolare puo trattare e conservare dati personali ulteriormente rispetto ai cicli ordinari di retention nella misura strettamente necessaria alla tutela dei propri diritti e alla corretta gestione del procedimento. Tale trattamento si fonda sull'articolo 6, paragrafo 1, lettera f), GDPR e sulle pertinenti norme processuali applicabili, con adozione di misure proporzionate e limitazione dell'accesso ai soli soggetti autorizzati.

L'attivazione di legal hold o misure equivalenti e formalizzata in modo tracciabile, con indicazione del perimetro dati coinvolto, della motivazione giuridica e della durata prevista, al fine di evitare trattamenti indeterminati o non giustificati nel tempo.

15. Trasparenza documentale e relazioni con l'interessato

Il Titolare assicura trasparenza sostanziale sul trattamento attraverso pubblicazione di informative aggiornate, canali dedicati per richieste e meccanismi tracciati di risposta. Le comunicazioni verso l'interessato sono formulate in linguaggio chiaro, senza rinunciare al livello di precisione tecnica e giuridica necessario a rappresentare correttamente finalita, basi di liceita, destinatari e limiti del trattamento.

Ove necessario, il Titolare fornisce chiarimenti aggiuntivi sul perimetro delle operazioni effettuate, sulle eventuali limitazioni normative e sui rimedi disponibili, favorendo un rapporto informativo completo, documentato e coerente con i principi di correttezza e buona fede contrattuale.

16. Clausola di coordinamento con le altre policy

La presente informativa deve essere letta congiuntamente alla Cookie Policy, alle Condizioni d'uso, alla pagina Diritti Privacy (DSAR), alla policy Data Breach e alla Governance Privacy del portale. In caso di apparente disallineamento prevale l'interpretazione che assicura maggiore tutela dei diritti dell'interessato, fermo restando il rispetto degli obblighi legali cogenti e delle specifiche contrattuali eventualmente applicabili ai singoli processi.

Ogni aggiornamento di tali documenti e gestito con criteri di coerenza interdocumentale, versioning e controllo legale, al fine di evitare lacune informative e garantire un assetto normativo interno stabile, verificabile e professionalmente difendibile in sede ispettiva o contenziosa.

17. Valutazione d'impatto e gestione del rischio privacy

Quando la natura, l'oggetto, il contesto o le finalita del trattamento possano presentare rischio elevato per i diritti e le liberta delle persone fisiche, il Titolare valuta l'opportunita di una analisi di impatto secondo i criteri dell'articolo 35 GDPR, adottando misure preventive e correttive coerenti con il rischio individuato. L'esito della valutazione e inserito nel circuito di governance con indicazione delle azioni tecniche e organizzative necessarie prima della piena messa in esercizio del trattamento.

Il livello di rischio e riesaminato periodicamente, soprattutto in presenza di mutamenti architetturali, nuove integrazioni o incremento sostanziale dei volumi trattati, in modo da preservare proporzionalita e adeguatezza delle misure nel tempo.

18. Sicurezza applicativa, logging e controllo anomalie

Il portale adotta registrazione eventi a finalita di sicurezza e auditabilita, con separazione tra log operativi e log di sicurezza, controllo degli accessi ai registri e conservazione proporzionata al rischio. Le anomalie rilevate sono trattate attraverso workflow di incident response con responsabilita assegnate e tracciamento delle decisioni, favorendo tempestivita nella mitigazione e completezza nella ricostruzione.

L'attivita di logging non e orientata a sorveglianza indiscriminata del personale ma al presidio di integrita, disponibilita e riservatezza dei sistemi, alla prevenzione abusi e alla tutela legale del Titolare.

19. Diritti di terzi e bilanciamento degli interessi

Nell'evasione delle richieste dell'interessato il Titolare assicura bilanciamento con i diritti e le liberta di terzi, evitando divulgazioni indebite o trattamenti eccedenti. Quando necessario, i dati sono oscurati, selezionati o parzializzati, in modo da soddisfare il diritto esercitato senza compromettere riservatezza altrui, segreti aziendali, sicurezza dei sistemi o obblighi legali concorrenti.

Le scelte di bilanciamento sono motivate e registrate, in modo da consentire verificabilita ex post della correttezza procedurale e sostanziale del trattamento effettuato.

20. Categorie particolari di dati e cautele rafforzate

Eventuali categorie particolari di dati personali ex articolo 9 GDPR sono trattate solo in presenza di presupposto normativo idoneo e con misure rafforzate di accesso, segregazione e minimizzazione. Laddove tali informazioni siano state fornite spontaneamente dall'interessato in documenti o comunicazioni, il Titolare limita il trattamento a quanto strettamente necessario rispetto alla finalita legittima perseguita.

Le funzioni autorizzate ricevono istruzioni operative specifiche per evitare riuso improprio o sovraesposizione interna del dato, con tracciamento delle operazioni maggiormente sensibili.

21. Evoluzione normativa e principio di adeguamento continuo

Il Titolare monitora l'evoluzione del quadro normativo europeo e nazionale, dei provvedimenti delle autorita competenti e delle best practice tecniche di settore, adeguando processi e documentazione quando necessario. L'adeguamento continuo e considerato parte integrante della conformita sostanziale e non mero adempimento formale di aggiornamento testuale.

In tale prospettiva, ogni revisione significativa dell'assetto privacy e accompagnata da verifica tecnica dell'effettiva implementazione dei presidi dichiarati nelle informative pubbliche.

22. Chiarimenti interpretativi e validita delle clausole

Qualora una singola clausola della presente informativa risulti invalida o inefficace in tutto o in parte, resta impregiudicata la validita delle restanti disposizioni, che continuano ad applicarsi nella misura massima consentita dalla legge. Le clausole saranno interpretate in coerenza con i principi GDPR e con la finalita di garantire tutela effettiva degli interessati e certezza giuridica per il Titolare.

Per dubbi interpretativi o richieste di dettaglio e sempre disponibile il canale ufficiale privacy@justbit.it, con gestione tracciata delle comunicazioni.

23. Proporzionalita, necessita e minimizzazione operativa

Ogni processo di trattamento e progettato secondo criterio di stretta necessita rispetto alla finalita dichiarata, evitando raccolte ridondanti, campi superflui o conservazioni eccedenti. Quando il risultato perseguibile e ottenibile con dato meno identificativo, il Titolare adotta la soluzione meno invasiva, coerentemente con i principi di minimizzazione e privacy by default.

Tale criterio si applica sia ai flussi utente sia alle funzionalita amministrative interne, incluse attivita di analisi, reportistica e audit, con verifiche periodiche di congruita tra dato trattato e finalita.

24. Misure contro abuso, frode e uso distorto del servizio

Il Titolare adotta controlli tecnici e organizzativi idonei a prevenire uso fraudolento, automazioni abusive, estrazioni indebite e manipolazioni dei flussi applicativi. Le misure comprendono validazioni server-side, rate limiting, sistemi anti-abuso, audit log e monitoraggio delle anomalie, nel rispetto dei principi di proporzionalita e finalita legittima.

In presenza di indicatori di abuso, il Titolare puo limitare temporaneamente funzionalita, richiedere verifiche aggiuntive o attivare escalation di sicurezza, mantenendo tracciamento documentale delle decisioni assunte.

25. Presidio contrattuale e tutela dell'azienda

La presente informativa, letta congiuntamente alle altre policy del portale, costituisce parte del sistema di presidio legale e organizzativo dell'azienda. Le regole qui descritte sono finalizzate a tutelare in modo equilibrato diritti degli interessati, continuita operativa, sicurezza dei dati e legittime esigenze di difesa del Titolare in sede amministrativa o giudiziaria.

Il Titolare conserva facolta di adottare istruzioni operative integrative quando necessarie a garantire conformita sostanziale, ferma la pubblicazione tempestiva degli aggiornamenti rilevanti verso gli interessati.

26. Tutela del Titolare in sede precontenziosa e giudiziale

Nei limiti consentiti dalla normativa applicabile, i dati personali e i metadati strettamente necessari possono essere trattati anche per accertare, esercitare o difendere un diritto del Titolare in sede precontenziosa, arbitrale, amministrativa o giudiziale. Tale trattamento e svolto secondo criteri di pertinenza, minimizzazione e segregazione degli accessi, evitando diffusione interna non necessaria e mantenendo catena documentale idonea a dimostrare legittimita, correttezza procedurale e proporzionalita delle decisioni assunte.

In presenza di contestazioni formali, il Titolare puo applicare misure di conservazione rafforzata su specifici fascicoli (legal hold), sospendendo la cancellazione automatica delle sole evidenze indispensabili alla tutela giuridica dell'azienda, con riesame periodico della necessita di mantenimento.

27. Continuita operativa, resilienza e interesse legittimo alla sicurezza

La continuita del servizio e la resilienza dell'infrastruttura costituiscono interessi legittimi primari del Titolare, in quanto direttamente connessi alla tutela degli interessati, all'integrita dei processi e alla prevenzione di eventi dannosi. In tale quadro possono essere attivati controlli tecnici, procedure di business continuity, test di ripristino e monitoraggi di sicurezza proporzionati al rischio, con tracciamento delle operazioni e limitazione degli accessi ai soli soggetti autorizzati.

Le misure adottate non perseguono finalita di sorveglianza indiscriminata del personale o degli utenti, ma finalita di protezione del sistema, riduzione della superficie di attacco e mantenimento della capacita di erogazione del servizio in condizioni affidabili e verificabili.

28. Interpretazione evolutiva e prevalenza delle norme imperative

La presente informativa e redatta in coerenza con il Regolamento (UE) 2016/679, con il D.lgs. 196/2003 come modificato dal D.lgs. 101/2018, con la disciplina ePrivacy applicabile e con i provvedimenti delle Autorita competenti. Qualora intervengano norme imperative sopravvenute o orientamenti regolatori vincolanti, le relative disposizioni si applicano automaticamente nella misura prevista dalla legge, con aggiornamento conseguente della documentazione pubblica e dei controlli tecnici sottostanti.

L'interpretazione delle clausole avviene secondo criteri di coerenza sistematica, favorendo la soluzione che assicura insieme effettiva tutela degli interessati, robustezza della compliance e difendibilita del presidio aziendale in sede ispettiva o contenziosa.

29. Presidio rafforzato del segreto aziendale e delle informazioni riservate

Nell'esercizio dei diritti privacy il Titolare tutela contestualmente i diritti dell'interessato e la riservatezza delle informazioni aziendali non pubbliche, incluse logiche interne di sicurezza, procedure operative, assetti tecnici e informazioni confidenziali coperte da obblighi contrattuali o da segreto industriale. La risposta alle istanze e quindi costruita con criterio di stretta pertinenza, evitando divulgazioni che eccedano il perimetro necessario del diritto esercitato.

Qualora il rilascio integrale possa compromettere sicurezza o segreti tutelati, il Titolare applica tecniche di oscuramento, estrazione selettiva o sintesi fedele, motivando la scelta secondo normativa applicabile.

30. Presunzione di integrita delle evidenze di sistema

Le evidenze tecniche prodotte dai sistemi aziendali, ove raccolte e conservate secondo i controlli di integrita previsti dalla governance, costituiscono base probatoria primaria per la ricostruzione dei fatti e delle operazioni effettuate. Eventuali contestazioni sulla correttezza dei dati di log devono essere formulate in modo circostanziato e supportate da elementi concreti, ferma la disponibilita del Titolare a riesame tecnico motivato.

Tale impostazione rafforza certezza documentale, riduce margini di ambiguita e tutela l'azienda rispetto a pretese non documentate o non coerenti con le evidenze oggettive disponibili.

31. Clausola finale di salvaguardia estesa

La presente informativa deve essere letta in combinazione con tutte le policy collegate del portale, come parte di un unico sistema di conformita e protezione aziendale. L'eventuale inefficacia parziale di una clausola non pregiudica validita ed efficacia delle restanti previsioni, che restano applicabili nella misura massima consentita dall'ordinamento vigente.

In caso di incertezza interpretativa, prevale la lettura che garantisce insieme tutela dei diritti degli interessati, sicurezza del trattamento e robustezza della posizione difensiva del Titolare.