Documento legale · Informativa GDPR estesa

Informativa estesa sulla compliance al Regolamento UE 2016/679

Ultimo aggiornamento: 28 maggio 2026 Versione 1.0

Indice

Scopo del documento
Ruoli e responsabilità
Principi del trattamento
Valutazione d'impatto (DPIA)
Privacy by Design e by Default
Misure tecniche e organizzative (art. 32)
Sub-responsabili e catena di fornitura
Diritto di audit del Cliente
Gestione data breach
Trasferimenti extra-UE
Intelligenza artificiale e processo decisionale
Whistleblowing
Contatto del DPO

01 Scopo del documento

Il presente documento illustra in modo esteso le scelte organizzative, tecniche e procedurali che VIGILO HQ S.r.l. adotta per garantire la conformità al Regolamento (UE) 2016/679 (General Data Protection Regulation, "GDPR"), al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, ai Provvedimenti del Garante per la protezione dei dati personali e alle ulteriori normative europee e nazionali applicabili.

Esso integra — senza sostituirsi — ai documenti specifici stipulati con i clienti SaaS: Privacy Policy, Cookie Policy, Termini di servizio e Data Processing Agreement (DPA).

02 Ruoli e responsabilità nel trattamento

VIGILO HQ Titolare del trattamento

VIGILO HQ agisce in qualità di Titolare per i trattamenti relativi a: navigazione sul sito vetrina, gestione contatti commerciali e marketing, amministrazione e contabilità, gestione del personale interno.

VIGILO HQ Responsabile esterno (art. 28 GDPR)

VIGILO HQ agisce in qualità di Responsabile esterno per i trattamenti effettuati per conto dei propri clienti SaaS, che restano Titolari del trattamento dei dati di propri dipendenti, fornitori e clienti caricati in Piattaforma.

Il rapporto é regolato da un Data Processing Agreement conforme all'art. 28 GDPR, sottoscritto al momento dell'attivazione del servizio. Il DPA include in particolare:

oggetto e durata del trattamento;
natura e finalità;
tipo di dati personali e categorie di interessati;
obblighi e diritti del Titolare;
elenco aggiornato dei sub-responsabili autorizzati;
misure tecniche e organizzative adottate;
procedura di notifica data breach;
modalità di restituzione/cancellazione dei dati a fine rapporto.

03 Principi del trattamento (art. 5 GDPR)

Ogni trattamento é ispirato al rispetto dei principi di:

Liceità, correttezza, trasparenza: Ogni trattamento ha una base giuridica esplicita e l'interessato é informato in modo chiaro e accessibile.
Limitazione delle finalità: I dati sono raccolti per finalità determinate, esplicite e legittime, e non ulteriormente trattati in modo incompatibile.
Minimizzazione: I dati sono adeguati, pertinenti e limitati a quanto necessario.
Esattezza: I dati sono esatti e aggiornati; il Cliente Titolare é tenuto a comunicare correzioni tempestivamente.
Limitazione conservazione: I dati sono conservati per il tempo necessario alle finalità.
Integrità e riservatezza: I dati sono protetti contro trattamenti illeciti, perdita, distruzione o danno accidentali.
Responsabilizzazione (accountability): Il Titolare é in grado di dimostrare il rispetto dei principi tramite registro dei trattamenti, DPIA, policy interne e audit periodici.

04 Valutazione d'impatto (DPIA — art. 35 GDPR)

VIGILO HQ ha condotto una Valutazione d'impatto sulla protezione dei dati per i trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, in particolare:

Trattamento sistematico su larga scala di dati relativi a dipendenti dei clienti (categorie: anagrafica, presenze, retribuzioni, formazione, sicurezza sul lavoro);
Monitoraggio delle prestazioni dei fornitori (Portale Fornitore, OTIF Score);
Profilazione operativa cross-modulo svolta dagli engine AI proprietari (Margin Guardian, Predictive Radar);
Tracciamento delle attività di compliance (HACCP, Safety, Governance).

La DPIA é oggetto di revisione periodica almeno annuale o in occasione di rilevanti modifiche al trattamento.

05 Privacy by Design e by Default (art. 25 GDPR)

L'architettura della Piattaforma é progettata per garantire la protezione dei dati fin dalla fase di sviluppo (by design) e di default (by default):

Multi-tenancy logica: ogni cliente dispone di uno schema dati isolato, con identità e permessi separati;
RBAC granulare: i permessi di accesso sono definiti per sede e mansione (principio del minimo privilegio);
Pseudonimizzazione dei dati nei log applicativi e nei report aggregati;
Default minimi: alla creazione di una nuova utenza, i permessi sono ridotti al minimo e devono essere ampliati esplicitamente dall'amministratore del Cliente;
Disattivazione automatica degli utenti inattivi e revoca delle credenziali a seguito di dimissioni segnalate dal modulo HR;
Mascheramento dei campi sensibili nelle interfacce in cui non sono strettamente necessari (es. IBAN parzialmente offuscato).

06 Misure tecniche e organizzative (art. 32 GDPR)

Misure tecniche

Cifratura in transito (TLS 1.3) e a riposo (AES-256);
Autenticazione a due fattori (2FA TOTP) obbligatoria sugli accessi privilegiati;
Hardening sistemi: CIS Benchmark Level 2 sui sistemi operativi server;
Web Application Firewall e protezione DDoS attiva a livello edge;
Catena hash crittografica per la conservazione sostitutiva dei registri sensibili (HACCP, Safety, Governance);
Audit trail WORM (Write Once Read Many) immutabile sulle scritture economiche e di compliance;
Backup automatici daily, monthly e off-site geo-ridondanti, con test periodico di ripristino;
Vulnerability assessment trimestrale, penetration test annuale, bug bounty program;
Aggiornamenti di sicurezza tempestivi (patch management ciclo 7-30 giorni in base alla CVSS).

Misure organizzative

Registro dei trattamenti aggiornato (art. 30 GDPR);
Procedure di nomina degli autorizzati ex art. 29 GDPR e art. 2-quaterdecies Codice Privacy;
Programma di formazione annuale obbligatoria del personale sui temi GDPR e sicurezza informatica;
Procedura di onboarding/offboarding del personale con revoca tempestiva degli accessi;
Policy di clean desk e gestione dei dispositivi mobili (MDM);
Procedure di gestione degli incidenti di sicurezza con escalation al DPO entro 24 ore;
Audit interno annuale e revisione documentale.

07 Sub-responsabili e catena di fornitura

Per l'erogazione dei Servizi, VIGILO HQ si avvale di sub-responsabili selezionati e nominati ai sensi dell'art. 28, par. 4 GDPR. I sub-responsabili sono vincolati per contratto a garantire un livello di protezione dei dati equivalente a quello adottato da VIGILO HQ.

Categorie tipiche di sub-responsabili:

Provider di infrastruttura cloud (server di hosting, database, storage);
Provider di servizi di posta elettronica transazionale;
Provider di servizi di monitoraggio degli errori applicativi;
Provider di servizi di backup off-site;
Consulenti tecnici esterni per attività di sviluppo specifico, sotto NDA.

L'elenco aggiornato e nominativo dei sub-responsabili é reso disponibile ai clienti Titolari su richiesta scritta al DPO. Eventuali variazioni vengono notificate con preavviso di almeno 30 giorni, durante i quali il Cliente Titolare può opporsi per giustificati motivi.

08 Diritto di audit del Cliente

Il Cliente Titolare ha diritto, ai sensi dell'art. 28, par. 3, lett. h) GDPR, di verificare il rispetto da parte di VIGILO HQ degli obblighi previsti dal DPA, mediante:

Consultazione della documentazione di compliance (policy, certificazioni, esiti audit di terzi);
Ricezione del questionario di accountability annuale compilato da VIGILO HQ;
In casi specifici e motivati, audit on-site con preavviso di almeno 30 giorni lavorativi, da svolgersi in orario di ufficio e con modalità tali da non compromettere la continuità operativa e la riservatezza degli altri clienti multi-tenant.

I costi dell'audit sono a carico del Cliente Titolare, salvo che l'audit accerti un inadempimento rilevante imputabile a VIGILO HQ.

09 Gestione dei data breach (artt. 33-34 GDPR)

VIGILO HQ ha adottato una procedura interna di gestione delle violazioni di dati personali (Data Breach Management Procedure) che prevede:

Rilevazione tempestiva tramite sistemi di monitoraggio (SIEM, IDS/IPS) e segnalazione spontanea del personale;
Triage entro 4 ore lavorative dalla rilevazione, con classificazione del livello di gravità;
Contenimento e remediation immediati per limitare l'impatto;
Valutazione del rischio per i diritti e le libertà degli interessati;
Notifica al Cliente Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla conoscenza della violazione, qualora si tratti di dati di cui VIGILO HQ é Responsabile esterno;
Notifica al Garante entro 72 ore dalla conoscenza, qualora VIGILO HQ sia Titolare e la violazione presenti un rischio per i diritti degli interessati (art. 33 GDPR);
Comunicazione agli interessati in caso di rischio elevato (art. 34 GDPR);
Registro delle violazioni mantenuto ai sensi dell'art. 33, par. 5 GDPR;
Post-mortem e azioni correttive sistemiche.

10 Trasferimenti extra-UE (artt. 44-49 GDPR)

L'infrastruttura cloud di VIGILO HQ é localizzata in Italia e nell'Unione Europea. Per impostazione predefinita, i dati personali dei Clienti non sono trasferiti al di fuori dello Spazio Economico Europeo.

Per esigenze tecniche limitate (es. servizi accessori di e-mail, monitoraggio errori, supporto), eventuali trasferimenti extra-UE avvengono esclusivamente verso:

Paesi oggetto di decisione di adeguatezza della Commissione europea (art. 45 GDPR);
Soggetti vincolati alle Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea con Decisione 2021/914/UE (art. 46 GDPR), integrate da misure supplementari adeguate a seguito di Transfer Impact Assessment (TIA).

Su richiesta del Cliente Titolare, il DPO fornisce documentazione dettagliata sui trasferimenti in essere.

11 Intelligenza artificiale e processo decisionale automatizzato

Gli engine AI interni alla Piattaforma (VIGILO Margin Guardian, VIGILO Predictive Radar, VIGILO Decision Board) producono raccomandazioni operative destinate al management dei Clienti. Le decisioni finali sono sempre in capo a operatori umani: non sono effettuati trattamenti automatizzati che producano effetti giuridici o incidano significativamente sulla persona senza intervento umano significativo (art. 22 GDPR).

I dati operativi dei Clienti non vengono utilizzati per addestrare modelli condivisi o di terze parti. L'addestramento di modelli proprietari avviene esclusivamente su dataset interni o anonimizzati in forma irreversibile.

VIGILO HQ ha avviato un percorso di conformità al Regolamento UE 2024/1689 (AI Act) per i sistemi di intelligenza artificiale potenzialmente classificabili come "ad alto rischio".

12 Whistleblowing (D.Lgs. 24/2023)

VIGILO HQ ha implementato un canale di segnalazione interno per le violazioni di norme nazionali e dell'Unione europea, conforme al D.Lgs. 24/2023. Le segnalazioni possono essere inoltrate tramite il canale dedicato, garantendo la riservatezza dell'identità del segnalante e la tutela contro atti ritorsivi.

Per maggiori informazioni o per effettuare una segnalazione: whistleblowing@vigilohq.com.

13 Contatto del Responsabile della protezione dei dati

DPO: Responsabile della protezione dei dati di VIGILO HQ S.r.l.
Email: dpo@vigilohq.com
PEC: vigilohqsrl@legalmail.it (oggetto: "Attenzione DPO")
Posta ordinaria: VIGILO HQ S.r.l. — Responsabile protezione dati — Sede legale Via Enzo ed Elvira Sellerio 90, 90141 Palermo (PA) / Sede operativa c/o FB Consulting S.r.l., Via Tito Vignoli 5, 20146 Milano (MI)

Documentazione disponibile su richiesta: Registro dei trattamenti (art. 30 GDPR), Elenco sub-responsabili, Sintesi DPIA, Procedura di gestione data breach, Certificazioni di sicurezza dei provider cloud, Transfer Impact Assessment.

Le richieste vanno inviate al DPO accompagnate da copia di un documento di identità del richiedente e dell'evidenza della legittimazione (es. mandato del cliente).

Legal document · Extended GDPR notice

Extended notice on compliance with the EU GDPR and UK GDPR

Last updated: 28 May 2026 Version 1.0

Purpose of the document
Roles and responsibilities
Processing principles
Data Protection Impact Assessment (DPIA)
Privacy by Design and by Default
Technical and organisational measures (Art. 32)
Sub-processors and supply chain
Client's right to audit
Data-breach management
International transfers (EU & UK)
Artificial intelligence and automated decision-making
Whistleblowing
DPO contact

01 Purpose of the document

This document sets out in detail the organisational, technical and procedural choices that VIGILO HQ S.r.l. adopts to ensure compliance with the EU General Data Protection Regulation (Regulation (EU) 2016/679, "GDPR"), the Italian Privacy Code (Legislative Decree 196/2003 as amended by Legislative Decree 101/2018), and — for the United Kingdom — the UK GDPR and the Data Protection Act 2018 as amended by the Data (Use and Access) Act 2025, together with the measures of the competent supervisory authorities.

It supplements — without replacing — the specific documents agreed with SaaS clients: the Privacy Policy, Cookie Policy, Terms of Service and Data Processing Agreement (DPA).

02 Roles and responsibilities in processing

VIGILO HQ as controller

VIGILO HQ acts as controller for processing relating to: browsing the marketing website, managing commercial contacts and marketing, administration and accounting, and managing its own internal staff.

VIGILO HQ as processor (Art. 28 GDPR / UK GDPR)

VIGILO HQ acts as a processor for processing carried out on behalf of its SaaS clients, who remain controllers of the data of their own employees, suppliers and customers uploaded to the Platform.

The relationship is governed by a Data Processing Agreement compliant with Art. 28 GDPR / UK GDPR, signed when the service is activated. The DPA includes in particular:

subject matter and duration of the processing;
nature and purpose;
type of personal data and categories of data subjects;
obligations and rights of the controller;
an up-to-date list of authorised sub-processors;
the technical and organisational measures adopted;
the data-breach notification procedure;
arrangements for returning/deleting data at the end of the relationship.

03 Processing principles (Art. 5 GDPR)

Every processing operation is guided by the principles of:

Lawfulness, fairness, transparency: Each processing has an explicit legal basis and the data subject is informed clearly and accessibly.
Purpose limitation: Data is collected for specified, explicit and legitimate purposes and not further processed incompatibly.
Minimisation: Data is adequate, relevant and limited to what is necessary.
Accuracy: Data is accurate and kept up to date; the client controller must communicate corrections promptly.
Storage limitation: Data is kept for the time necessary for the purposes.
Integrity and confidentiality: Data is protected against unlawful processing, accidental loss, destruction or damage.
Accountability: The controller can demonstrate compliance through a record of processing, DPIAs, internal policies and periodic audits.

04 Data Protection Impact Assessment (DPIA — Art. 35 GDPR)

VIGILO HQ has carried out a Data Protection Impact Assessment for processing presenting a high risk to the rights and freedoms of data subjects, in particular:

Systematic large-scale processing of clients' employee data (records, attendance, pay, training, workplace safety);
Monitoring of supplier performance (Supplier Portal, OTIF Score);
Cross-module operational profiling performed by the proprietary AI engines (Margin Guardian, Predictive Radar);
Tracking of compliance activities (HACCP, Safety, Governance).

The DPIA is reviewed periodically, at least annually or upon significant changes to the processing.

05 Privacy by Design and by Default (Art. 25 GDPR)

The Platform's architecture is designed to ensure data protection from the development stage (by design) and by default:

Logical multi-tenancy: each client has an isolated data schema, with separate identity and permissions;
Granular RBAC: access permissions defined by site and job (least-privilege principle);
Pseudonymisation of data in application logs and aggregated reports;
Minimal defaults: when a new account is created, permissions are minimal and must be explicitly broadened by the client's administrator;
Automatic deactivation of inactive users and credential revocation following resignations flagged by the HR module;
Masking of sensitive fields in interfaces where they are not strictly necessary (e.g. partially obfuscated IBAN).

06 Technical and organisational measures (Art. 32 GDPR)

Technical measures

Encryption in transit (TLS 1.3) and at rest (AES-256);
Mandatory two-factor authentication (TOTP 2FA) on privileged access;
System hardening: CIS Benchmark Level 2 on server operating systems;
Web Application Firewall and DDoS protection active at the edge;
Cryptographic hash chain for archiving sensitive registers (HACCP, Safety, Governance);
Immutable WORM (Write Once Read Many) audit trail on economic and compliance writes;
Daily, monthly and off-site geo-redundant automatic backups, with periodic restore testing;
Quarterly vulnerability assessment, annual penetration test, bug-bounty programme;
Timely security updates (patch management cycle of 7–30 days based on CVSS).

Organisational measures

Up-to-date record of processing (Art. 30 GDPR);
Procedures for appointing authorised persons (Art. 29 GDPR);
Mandatory annual staff training on GDPR and IT security;
Staff onboarding/offboarding procedure with prompt access revocation;
Clean-desk policy and mobile-device management (MDM);
Security-incident management procedures with escalation to the DPO within 24 hours;
Annual internal audit and document review.

07 Sub-processors and supply chain

To deliver the Services, VIGILO HQ uses sub-processors selected and appointed under Art. 28(4) GDPR / UK GDPR. Sub-processors are contractually bound to ensure a level of data protection equivalent to that adopted by VIGILO HQ.

Typical categories of sub-processor:

Cloud infrastructure providers (hosting servers, databases, storage);
Transactional email service providers;
Application error-monitoring providers;
Off-site backup providers;
External technical consultants for specific development work, under NDA.

The up-to-date, named list of sub-processors is available to client controllers on written request to the DPO. Any changes are notified with at least 30 days' notice, during which the client controller may object on legitimate grounds.

08 Client's right to audit

Under Art. 28(3)(h) GDPR / UK GDPR, the client controller has the right to verify VIGILO HQ's compliance with the obligations in the DPA, through:

Review of compliance documentation (policies, certifications, third-party audit outcomes);
Receipt of the annual accountability questionnaire completed by VIGILO HQ;
In specific, justified cases, an on-site audit with at least 30 business days' notice, during office hours and in a manner that does not compromise operational continuity or the confidentiality of other multi-tenant clients.

Audit costs are borne by the client controller, unless the audit finds a material breach attributable to VIGILO HQ.

09 Data-breach management (Arts. 33–34 GDPR)

VIGILO HQ has adopted an internal personal-data breach management procedure that provides for:

Prompt detection through monitoring systems (SIEM, IDS/IPS) and spontaneous staff reporting;
Triage within 4 business hours of detection, with severity classification;
Immediate containment and remediation to limit impact;
Risk assessment for the rights and freedoms of data subjects;
Notification to the client controller without undue delay and in any case within 48 hours of becoming aware, where VIGILO HQ acts as processor;
Notification to the supervisory authority (the Italian Garante, the competent EU authority, or the UK ICO) within 72 hours of becoming aware, where VIGILO HQ is controller and the breach poses a risk to data subjects (Art. 33);
Communication to data subjects in case of high risk (Art. 34);
Breach register maintained under Art. 33(5);
Post-mortem and systemic corrective actions.

10 International transfers (Arts. 44–49 GDPR)

VIGILO HQ's cloud infrastructure is located in Italy and the European Union. By default, clients' personal data is not transferred outside the European Economic Area or the United Kingdom.

For limited technical needs (e.g. ancillary email, error monitoring, support), any transfers outside the EEA/UK take place only towards:

Countries covered by an adequacy decision (Art. 45 GDPR) — of the European Commission for EU data, or UK adequacy regulations for UK data;
Parties bound by appropriate safeguards (Art. 46): the EU Standard Contractual Clauses (Commission Decision 2021/914) for EU data and, for UK data, the ICO's International Data Transfer Agreement (IDTA) or the UK Addendum to the EU SCCs — supplemented by appropriate measures following a Transfer Impact Assessment (TIA).

On the client controller's request, the DPO provides detailed documentation on transfers in place.

11 Artificial intelligence and automated decision-making

The Platform's internal AI engines (VIGILO Margin Guardian, VIGILO Predictive Radar, VIGILO Decision Board) produce operational recommendations for clients' management. Final decisions always rest with human operators: no automated processing producing legal effects or significantly affecting a person is carried out without meaningful human intervention (Art. 22 GDPR / UK GDPR).

Clients' operational data is not used to train shared or third-party models. Proprietary models are trained exclusively on internal datasets or data irreversibly anonymised.

VIGILO HQ has begun a compliance programme for the EU Artificial Intelligence Act (Regulation (EU) 2024/1689) for AI systems potentially classifiable as "high-risk", and monitors the evolving UK approach to AI governance.

12 Whistleblowing

VIGILO HQ has implemented an internal reporting channel for breaches of national and EU law, compliant with Italian Legislative Decree 24/2023 (transposing EU Directive 2019/1937) and, for the UK, aligned with the Public Interest Disclosure Act 1998. Reports can be submitted through the dedicated channel, with the reporter's identity kept confidential and protection against retaliation.

For more information or to make a report: whistleblowing@vigilohq.com.

13 Data Protection Officer contact

DPO: Data Protection Officer of VIGILO HQ S.r.l.
Email: dpo@vigilohq.com
Certified email: vigilohqsrl@legalmail.it (subject: "Attention DPO")
Postal mail: VIGILO HQ S.r.l. — Data Protection Officer — Registered office Via Enzo ed Elvira Sellerio 90, 90141 Palermo (PA) / Operating office c/o FB Consulting S.r.l., Via Tito Vignoli 5, 20146 Milan (MI), Italy

Documentation available on request: Record of processing (Art. 30 GDPR), list of sub-processors, DPIA summary, data-breach management procedure, cloud providers' security certifications, Transfer Impact Assessment.

Requests should be sent to the DPO together with a copy of the requester's ID and evidence of standing (e.g. the client's mandate).