iDipendente

Documento legale

Informativa sulla Privacy

Resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (“Codice Privacy”).

Ultimo aggiornamento: 5 maggio 2026

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali raccolti tramite il sito idipendente.com e tramite la piattaforma SaaS “iDipendente” e':

QUATTUORDECIM S.P.A. BENEFIT

  • Sede legale: Via Montenapoleone 8, 20121 Milano (MI), Italia
  • P.IVA e Codice Fiscale: 14314550964
  • Iscritta al Registro delle Imprese di Milano
  • Capitale sociale: €50.000 i.v.
  • Societa' Benefit ai sensi della L. 28 dicembre 2015, n. 208
  • PEC: [email protected]
  • Email per richieste privacy: [email protected]

Non e' obbligatorio per il Titolare nominare un Responsabile della protezione dei dati (DPO) ai sensi dell'art. 37 GDPR; le richieste degli interessati possono essere indirizzate ai recapiti sopra indicati.

2. Tipologie di dati trattati

Il Titolare tratta le seguenti categorie di dati personali, raccolti direttamente dall'interessato o generati dall'utilizzo dei servizi:

  • Dati di registrazione e account: nome, cognome, email, ragione sociale, P.IVA/Codice Fiscale, ruolo aziendale, password (cifrata con algoritmo bcrypt).
  • Dati di pagamento: gestiti integralmente da Stripe Payments Europe Ltd.; il Titolare riceve solo il riferimento alla transazione e gli ultimi 4 numeri della carta, mai il PAN completo ne' il CVV.
  • Dati relativi ai dipendenti gestiti dal Cliente (utilizzo della piattaforma): anagrafica, dati di contratto, presenze, ferie, buste paga, documenti. Per tali dati il Cliente agisce come Titolare autonomo e iDipendente opera in qualita' di Responsabile del trattamento ai sensi dell'art. 28 GDPR (vedi §10).
  • Dati di navigazione: indirizzo IP, user-agent, pagine visitate, referrer, durata della sessione, identificativi cookie e simili tecnologie.
  • Dati di comunicazione: contenuti delle email inviate al supporto, ticket di assistenza, iscrizione alla newsletter.

3. Finalita' e basi giuridiche del trattamento

Finalita'Base giuridica
Erogazione del servizio SaaS (creazione account, autenticazione, funzionalita' HR, fatturazione)Esecuzione del contratto — art. 6.1.b GDPR
Adempimenti fiscali, contabili e di leggeObbligo legale — art. 6.1.c GDPR
Sicurezza informatica, prevenzione frodi, log applicativiLegittimo interesse — art. 6.1.f GDPR
Newsletter, comunicazioni commerciali, marketing diretto via emailConsenso — art. 6.1.a GDPR (revocabile in ogni momento)
Cookie analitici, pixel pubblicitari, profilazione e remarketingConsenso — art. 6.1.a GDPR (raccolto tramite cookie banner)
Risposta a richieste di assistenza e contattoEsecuzione di misure precontrattuali — art. 6.1.b GDPR

4. Cookie e strumenti di tracciamento

Il sito utilizza cookie tecnici (necessari al funzionamento, sempre attivi) e, previo consenso prestato tramite il banner cookie, cookie analitici e di profilazione di terze parti.

4.1 Cookie tecnici

  • next-auth.session-token, next-auth.csrf-token — sessione utente e protezione CSRF (durata: sessione / 30 giorni)
  • cookie-consent — memorizza la scelta dell'utente sul banner (12 mesi)

4.2 Strumenti di analisi e marketing (subordinati al consenso)

  • Google Analytics 4 (Google Ireland Ltd.) — ID misurazione G-7GBFJ0GQQV. Misura statistiche di traffico in modalita' aggregata. Conservazione dati: 14 mesi. Ulteriori informazioni: policies.google.com/privacy.
  • Google Ads / Google Tag (Google Ireland Ltd.) — ID conversione AW-18035920183. Misurazione delle conversioni e remarketing per le campagne pubblicitarie. Trasferimento extra-UE coperto da Standard Contractual Clauses approvate dalla Commissione Europea.
  • Meta Pixel (Meta Platforms Ireland Ltd.) — ID pixel 2148799795702547. Tracciamento delle visite al sito e degli eventi di conversione per misurare l'efficacia delle campagne pubblicitarie su Facebook e Instagram, costruzione di pubblici personalizzati e simili (“lookalike”), e ottimizzazione del retargeting. Il Pixel raccoglie dati di navigazione, indirizzo IP, identificativi del browser e l'evento di pagina visitata. I dati sono trattati da Meta in qualita' di Titolare autonomo ai fini pubblicitari; informativa completa: facebook.com/privacy/policy. L'utente puo' opporsi alla ricezione di pubblicita' basata sugli interessi modificando le preferenze del proprio account Meta o tramite youronlinechoices.com.

L'utente puo' modificare o revocare in qualsiasi momento il consenso prestato cliccando sull'icona “Gestione cookie” in fondo alla pagina o eliminando i cookie dalle impostazioni del proprio browser.

5. Destinatari dei dati e fornitori (Responsabili esterni)

I dati personali possono essere comunicati a soggetti terzi che agiscono in qualita' di Responsabili del trattamento ai sensi dell'art. 28 GDPR, sulla base di accordi di trattamento dati (DPA) sottoscritti con il Titolare:

  • Hetzner Online GmbH (Germania) — hosting dell'infrastruttura server e database. Server ubicati nell'Unione Europea.
  • Stripe Payments Europe Ltd. (Irlanda) — elaborazione dei pagamenti con carta di credito.
  • Resend Inc. — invio delle email transazionali (conferma registrazione, recupero password, notifiche di sistema). Trasferimenti extra-UE coperti da Standard Contractual Clauses.
  • Google Ireland Ltd. — analisi statistiche (Google Analytics) e gestione campagne pubblicitarie (Google Ads).
  • Meta Platforms Ireland Ltd. — pixel di tracciamento e gestione campagne pubblicitarie su Facebook e Instagram.
  • Consulenti professionali (commercialisti, legali, fiscalisti) — esclusivamente per adempimenti contabili, fiscali e legali.

L'elenco aggiornato dei Responsabili esterni puo' essere richiesto all'indirizzo [email protected].

6. Trasferimento dei dati al di fuori dell'Unione Europea

I server che ospitano la piattaforma e i database iDipendente sono ubicati all'interno dell'Unione Europea. Alcuni fornitori (Google, Meta, Resend) possono comportare il trasferimento di dati personali verso paesi terzi (in particolare Stati Uniti). In tali casi il trasferimento avviene sulla base di:

  • decisioni di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework per le aziende certificate);
  • Clausole Contrattuali Standard (Standard Contractual Clauses) approvate con decisione (UE) 2021/914;
  • misure tecniche e organizzative supplementari ove necessarie.

7. Periodo di conservazione

Categoria di datiPeriodo di conservazione
Dati di account attivoPer tutta la durata del rapporto contrattuale
Dati post-cessazione (fatture, contratti, registri)10 anni dalla cessazione (art. 2220 c.c. e normativa fiscale)
Log applicativi e di sicurezza12 mesi
Cookie analitici (Google Analytics)14 mesi
Cookie pubblicitari (Meta Pixel, Google Ads)90 giorni — 13 mesi
Iscrizione newsletterFino a revoca del consenso
Ticket di assistenza24 mesi dalla chiusura del ticket

8. Diritti dell'interessato

Ai sensi degli articoli 15-22 del GDPR, l'interessato ha diritto di:

  • Accesso ai propri dati personali (art. 15);
  • Rettifica di dati inesatti o incompleti (art. 16);
  • Cancellazione (“diritto all'oblio”) nei casi previsti dalla legge (art. 17);
  • Limitazione del trattamento (art. 18);
  • Portabilita' dei dati in formato strutturato e leggibile (art. 20);
  • Opposizione al trattamento, in particolare per finalita' di marketing diretto (art. 21);
  • Revoca del consenso in qualsiasi momento, senza pregiudicare la liceita' del trattamento basato sul consenso prima della revoca (art. 7.3);
  • Reclamo al Garante per la protezione dei dati personali (art. 77) o ad altra autorita' di controllo competente.

Le richieste possono essere inviate a [email protected]. Il Titolare rispondera' entro 30 giorni dalla ricezione, salvo proroga di ulteriori 60 giorni nei casi di particolare complessita' (art. 12.3 GDPR).

9. Modalita' del trattamento e misure di sicurezza

Il trattamento avviene con strumenti elettronici, con misure tecniche e organizzative adeguate a garantire la sicurezza dei dati ai sensi dell'art. 32 GDPR, tra cui:

  • cifratura in transito (TLS 1.3) e at-rest dei dati sensibili;
  • password utente memorizzate con algoritmo bcrypt (cost factor 12);
  • autenticazione a due fattori (TOTP) opzionale per gli amministratori;
  • backup giornalieri cifrati con conservazione di 30 giorni;
  • controlli di accesso basati sul ruolo (RBAC) e log audit;
  • accordi di riservatezza con tutto il personale autorizzato.

10. Trattamento dei dati dei dipendenti del Cliente

Quando il Cliente (azienda utilizzatrice) inserisce nella piattaforma dati personali dei propri dipendenti (anagrafica, presenze, buste paga, ferie, valutazioni), il Cliente agisce come Titolare autonomo ai sensi dell'art. 24 GDPR e iDipendente opera in qualita' di Responsabile del trattamento ai sensi dell'art. 28 GDPR.

La nomina a Responsabile e' formalizzata nei Termini e Condizioni di servizio sottoscritti al momento della registrazione e nell'allegato Data Processing Agreement (DPA). Il Cliente e' tenuto a fornire ai propri dipendenti una specifica informativa ex art. 13 GDPR per il trattamento dei loro dati attraverso la piattaforma.

11. Modifiche all'informativa

Il Titolare si riserva il diritto di modificare la presente informativa per adeguarla a sopravvenute novita' normative o organizzative. Le modifiche saranno pubblicate su questa pagina con l'indicazione della data di aggiornamento. In caso di modifiche sostanziali, gli utenti registrati saranno informati via email.

12. Contatti

Per qualunque domanda relativa alla presente informativa o al trattamento dei propri dati personali, e' possibile contattare il Titolare ai seguenti recapiti:

← Torna alla home

Documento valido a partire dal 5 maggio 2026