Documento legale · Privacy Policy

Informativa sul trattamento dei dati personali

Ultimo aggiornamento: 28 maggio 2026 Versione 1.0

Indice

Titolare del trattamento
Responsabile della protezione dati (DPO)
Categorie di dati trattati
Finalità e base giuridica
Modalità del trattamento
Periodo di conservazione
Destinatari e responsabili esterni
Trasferimenti extra-UE
Diritti dell'interessato
Reclamo al Garante
Trattamento dati di minori
Misure di sicurezza
Modifiche all'informativa

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e della normativa nazionale applicabile, VIGILO HQ S.r.l. fornisce di seguito l'informativa relativa al trattamento dei dati personali raccolti tramite il sito web vigilohq.com, la piattaforma SaaS app.vigilohq.com e l'app mobile VIGILO Supply per i fornitori.

01 Titolare del trattamento

Ragione sociale: VIGILO HQ S.r.l. — Startup Innovativa
Sede legale: Via Enzo ed Elvira Sellerio 90, 90141 Palermo (PA)
Sede operativa: c/o FB Consulting S.r.l., Via Tito Vignoli 5, 20146 Milano (MI)
P. IVA / C.F.: 07412450822
REA: PA-457197
Email: info@vigilohq.com
PEC: vigilohqsrl@legalmail.it

02 Responsabile della protezione dei dati (DPO)

Il Titolare ha designato un Responsabile della protezione dei dati (Data Protection Officer) contattabile all'indirizzo dpo@vigilohq.com oppure tramite PEC all'indirizzo vigilohqsrl@legalmail.it, con oggetto "Attenzione DPO".

L'interessato può rivolgersi al DPO per qualsiasi questione relativa al trattamento dei propri dati personali e all'esercizio dei diritti riconosciuti dal GDPR.

03 Categorie di dati personali trattati

A seconda dell'interazione con i nostri servizi, possono essere trattate le seguenti categorie di dati:

Dati di navigazione sul sito vetrina

Indirizzo IP, user agent, tipo di browser e sistema operativo;
Pagine visitate, durata della visita, referrer;
Identificatori di cookie (se prestato il consenso — v. Cookie Policy).

Dati forniti tramite form (richiesta demo, contatti)

Nome, cognome, ruolo aziendale;
Ragione sociale, P. IVA, numero di sedi;
Indirizzo email aziendale e numero di telefono;
Eventuali contenuti del messaggio.

Dati trattati nell'ambito della piattaforma SaaS

Per i clienti che utilizzano app.vigilohq.com, VIGILO HQ tratta — in qualità di Responsabile esterno del trattamento (art. 28 GDPR) per conto del cliente Titolare — le seguenti categorie:

Anagrafica dipendenti del cliente (nome, cognome, codice fiscale, ruolo, mansione, sede);
Dati relativi a turni, presenze, assenze, ferie, permessi, malattie;
Coordinate bancarie del dipendente per gestione cedolini (solo se attivato il modulo Payroll);
Dati di formazione obbligatoria, DPI assegnati, visite mediche (modulo Safety);
Dati di accesso al sistema (log di autenticazione, indirizzi IP, sessioni);
Anagrafica fornitori e relativi referenti (modulo Portale Fornitore);
Dati di pagamento, fatture, distinte (per la contabilizzazione cross-modulo).

Il rapporto contrattuale con i clienti SaaS é regolato da uno specifico Accordo di nomina a Responsabile esterno del trattamento (Data Processing Agreement, DPA) ai sensi dell'art. 28 GDPR, stipulato in occasione dell'attivazione del servizio.

04 Finalità del trattamento e base giuridica

Finalità	Base giuridica	Conservazione
Erogazione del servizio SaaS al cliente Titolare	Contratto (art. 6.1.b GDPR) tramite accordo DPA art. 28	Durata del contratto + 30 giorni
Riscontro a richieste di demo, contatti, supporto	Misure precontrattuali (art. 6.1.b GDPR)	24 mesi dall'ultimo contatto
Marketing diretto verso clienti (newsletter, aggiornamenti prodotto)	Consenso espresso (art. 6.1.a GDPR) o legittimo interesse soft opt-in per clienti già attivi	Fino a revoca
Analisi statistica anonima del sito	Legittimo interesse (art. 6.1.f GDPR) per cookie tecnici aggregati; consenso per profilazione	Massimo 26 mesi
Adempimenti contabili, fiscali, antiriciclaggio	Obbligo di legge (art. 6.1.c GDPR)	10 anni (art. 2220 c.c.)
Accertamento, esercizio, difesa di un diritto in sede giudiziaria	Legittimo interesse (art. 6.1.f GDPR)	Durata del contenzioso + termini di prescrizione
Sicurezza informatica, prevenzione frodi, audit log	Legittimo interesse (art. 6.1.f GDPR) e obbligo NIS2	12 mesi (log applicativi); 24 mesi (log di sicurezza)

05 Modalità del trattamento

I dati sono trattati con strumenti elettronici e con logica strettamente correlata alle finalità indicate. L'accesso é consentito esclusivamente al personale autorizzato (artt. 29 GDPR e 2-quaterdecies del Codice Privacy), formato sui temi della protezione dei dati e vincolato al segreto professionale.

Non viene effettuato alcun processo decisionale automatizzato né profilazione che produca effetti giuridici sull'interessato senza il suo consenso esplicito (art. 22 GDPR). I motori di intelligenza artificiale interni alla piattaforma (Margin Guardian, Predictive Radar, Decision Board) producono raccomandazioni operative destinate al management del cliente: le decisioni finali restano in capo a operatori umani.

I dati operativi dei clienti SaaS non vengono utilizzati per addestrare modelli di intelligenza artificiale condivisi o di terze parti.

06 Periodo di conservazione

I dati sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, come indicato nella tabella della sezione precedente. Decorsi tali termini, i dati sono cancellati o resi anonimi in forma irreversibile, fatte salve le ipotesi in cui la loro conservazione sia richiesta da norme di legge.

I backup dei dati hanno una rotazione tipica di 35 giorni (daily) e 12 mesi (monthly). Dopo la cessazione del contratto SaaS, il cliente può richiedere l'esportazione completa dei propri dati entro 30 giorni; oltre tale termine i dati sono cancellati in modo definitivo dai sistemi di produzione e dai backup nei tempi tecnici di rotazione.

07 Destinatari e responsabili esterni

I dati personali possono essere comunicati — sempre nel rispetto del principio di minimizzazione e della base giuridica appropriata — alle seguenti categorie di destinatari:

Fornitori IT che gestiscono l'infrastruttura cloud, l'hosting, la posta elettronica, il backup e la sicurezza informatica (nominati Responsabili esterni ex art. 28 GDPR);
Consulenti in ambito legale, fiscale, del lavoro e privacy (vincolati al segreto professionale);
Istituti di credito per la gestione di incassi e pagamenti;
Pubbliche autorità qualora la comunicazione sia richiesta da norme di legge o da provvedimenti dell'Autorità giudiziaria;
Fornitori del cliente nell'ambito del Portale Fornitore (limitatamente ai dati strettamente necessari al rapporto B2B autorizzato dal cliente Titolare).

L'elenco completo e aggiornato dei sub-responsabili può essere richiesto in qualsiasi momento scrivendo al DPO.

08 Trasferimenti di dati al di fuori dell'UE

VIGILO HQ ha scelto un'infrastruttura cloud localizzata in Italia / Unione Europea. Per impostazione predefinita, i dati personali non sono trasferiti al di fuori dello Spazio Economico Europeo.

Qualora, per esigenze tecniche limitate (es. servizi di e-mail transazionale, monitoraggio errori, supporto), si rendesse necessario il trasferimento extra-UE, esso avverrà esclusivamente verso Paesi oggetto di decisione di adeguatezza della Commissione europea oppure sulla base delle Clausole Contrattuali Standard (Standard Contractual Clauses, SCC) adottate dalla Commissione europea con Decisione 2021/914/UE, integrate da misure supplementari adeguate (Transfer Impact Assessment).

09 Diritti dell'interessato

In qualunque momento l'interessato può esercitare i diritti di cui agli artt. 15-22 del GDPR, in particolare:

Diritto di accesso (art. 15) — ottenere conferma dell'esistenza o meno di un trattamento e ricevere copia dei dati;
Diritto di rettifica (art. 16) — correggere dati inesatti o incompleti;
Diritto alla cancellazione (art. 17, "diritto all'oblio") nei casi previsti;
Diritto di limitazione del trattamento (art. 18);
Diritto alla portabilità (art. 20) — ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico;
Diritto di opposizione (art. 21), incluso il marketing diretto;
Diritto di non essere sottoposto a decisioni automatizzate (art. 22);
Diritto di revocare il consenso in qualsiasi momento (art. 7.3), fermi restando gli effetti del trattamento già eseguito.

Per esercitare tali diritti é sufficiente inviare una richiesta a dpo@vigilohq.com oppure tramite PEC a vigilohqsrl@legalmail.it. Il Titolare risponderà senza ingiustificato ritardo e comunque entro 30 giorni (estensibili a 90 in casi di particolare complessità, con apposita comunicazione).

10 Reclamo all'Autorità di controllo

L'interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, con sede in Piazza Venezia 11, 00187 Roma, tramite i recapiti pubblicati su www.garanteprivacy.it, qualora ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR o della normativa nazionale applicabile.

11 Trattamento dati di minori

Il sito e i servizi VIGILO HQ sono rivolti a un'utenza professionale (manager, area manager, controller, fornitori). Non é previsto il trattamento intenzionale di dati di minori di 14 anni (soglia italiana per il consenso al trattamento prevista dall'art. 2-quinquies del Codice Privacy, in deroga all'art. 8 GDPR). Qualora venga a conoscenza di un trattamento accidentale di dati di minori senza il consenso del titolare della responsabilità genitoriale, il Titolare procederà alla cancellazione senza indugio.

12 Misure di sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate (art. 32 GDPR) per garantire un livello di sicurezza appropriato al rischio, tra cui:

Cifratura dei dati in transito (TLS 1.3) e a riposo (AES-256);
Autenticazione a due fattori (2FA TOTP) sugli accessi privilegiati;
Segregazione multi-tenant logica per ogni cliente;
Controllo accessi basato su ruoli (RBAC) granulare per sede e mansione;
Audit trail WORM (Write Once Read Many) su tutte le scritture economiche e di compliance;
Catena hash crittografica per la conservazione sostitutiva di registri sensibili (HACCP, Safety, Governance);
Backup automatici geograficamente ridondanti con possibilità di Point-in-Time Recovery;
Sistemi di protezione perimetrale (WAF, DDoS shield);
Procedure di gestione degli incidenti di sicurezza (Data Breach) conformi all'art. 33 GDPR, con notifica al Garante entro 72 ore;
Formazione periodica del personale sui temi di sicurezza informatica e protezione dei dati;
Verifiche periodiche di vulnerabilità (vulnerability assessment) e penetration test.

13 Modifiche all'informativa

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone comunicazione tramite il sito web e, ove applicabile, tramite comunicazione diretta agli interessati. La data dell'ultimo aggiornamento é riportata in apertura del documento.

Domande? Scrivici a dpo@vigilohq.com per qualsiasi chiarimento sulla presente informativa o per esercitare i tuoi diritti GDPR.

Legal document · Privacy Policy

Personal data processing notice

Last updated: 28 May 2026 Version 1.0

Data controller
Data Protection Officer (DPO)
Categories of data processed
Purposes and legal basis
How we process data
Retention period
Recipients and processors
International transfers (EU & UK)
Your rights
Right to complain
Children's data
Security measures
Changes to this notice

In accordance with Articles 13 and 14 of the EU General Data Protection Regulation (Regulation (EU) 2016/679, "EU GDPR") and, for individuals in the United Kingdom, the UK GDPR and the Data Protection Act 2018, VIGILO HQ S.r.l. provides the following notice on the processing of personal data collected through the website vigilohq.com, the SaaS platform app.vigilohq.com and the VIGILO Supply mobile app for suppliers.

01 Data controller

Company name: VIGILO HQ S.r.l. — Innovative Startup
Registered office: Via Enzo ed Elvira Sellerio 90, 90141 Palermo (PA), Italy
Operating office: c/o FB Consulting S.r.l., Via Tito Vignoli 5, 20146 Milan (MI), Italy
VAT / Tax code: 07412450822
REA: PA-457197
Email: info@vigilohq.com
Certified email (PEC): vigilohqsrl@legalmail.it

02 Data Protection Officer (DPO)

The controller has appointed a Data Protection Officer, who can be contacted at dpo@vigilohq.com or by certified email at vigilohqsrl@legalmail.it with the subject line "Attention DPO".

You may contact the DPO about any matter relating to the processing of your personal data and the exercise of the rights granted by the GDPR / UK GDPR.

03 Categories of personal data processed

Depending on how you interact with our services, the following categories of data may be processed:

Browsing data on the marketing website

IP address, user agent, browser type and operating system;
Pages visited, visit duration, referrer;
Cookie identifiers (where consent is given — see the Cookie Policy).

Data provided through forms (demo request, contact)

First name, surname, business role;
Company name, VAT number, number of sites;
Work email address and phone number;
Any content of your message.

Data processed within the SaaS platform

For clients who use app.vigilohq.com, VIGILO HQ processes — as a processor (Art. 28 GDPR / UK GDPR) on behalf of the client controller — the following categories:

The client's employee records (name, surname, tax code, role, job, site);
Data on shifts, attendance, absences, holidays, leave and sickness;
Employee bank details for payslip management (only if the Payroll module is enabled);
Mandatory training data, assigned PPE, medical visits (Safety module);
System access data (authentication logs, IP addresses, sessions);
Supplier records and their contacts (Supplier Portal module);
Payment, invoice and remittance data (for cross-module bookkeeping).

The contractual relationship with SaaS clients is governed by a specific Data Processing Agreement (DPA) under Art. 28 GDPR / UK GDPR, entered into when the service is activated.

04 Purposes of processing and legal basis

Purpose	Legal basis	Retention
Provision of the SaaS service to the client controller	Contract (Art. 6(1)(b) GDPR / UK GDPR) via the Art. 28 DPA	Term of the contract + 30 days
Responding to demo requests, contact and support	Pre-contractual measures (Art. 6(1)(b))	24 months from last contact
Direct marketing to clients (newsletter, product updates)	Consent (Art. 6(1)(a)) or soft opt-in legitimate interest for existing clients	Until withdrawal
Anonymous website statistics	Legitimate interest (Art. 6(1)(f)) for aggregated technical cookies; consent for profiling	Up to 26 months
Accounting, tax and anti-money-laundering obligations	Legal obligation (Art. 6(1)(c))	10 years (Italy, Civil Code art. 2220); 6 years for UK tax/records
Establishing, exercising or defending legal claims	Legitimate interest (Art. 6(1)(f))	Duration of the dispute + limitation periods
IT security, fraud prevention, audit logs	Legitimate interest (Art. 6(1)(f)) and NIS2 obligations	12 months (application logs); 24 months (security logs)

05 How we process data

Data is processed using electronic tools and with logic strictly related to the purposes stated. Access is granted only to authorised personnel, trained on data protection and bound by confidentiality.

No solely automated decision-making or profiling that produces legal effects on the data subject is carried out without explicit consent (Art. 22 GDPR / UK GDPR). The platform's internal AI engines (Margin Guardian, Predictive Radar, Decision Board) produce operational recommendations for the client's management: final decisions always rest with human operators.

SaaS clients' operational data is not used to train shared or third-party artificial-intelligence models.

06 Retention period

Data is kept for the time strictly necessary to achieve the purposes for which it was collected, as set out in the table above. After those periods, data is deleted or irreversibly anonymised, except where its retention is required by law.

Data backups have a typical rotation of 35 days (daily) and 12 months (monthly). After the SaaS contract ends, the client may request a full export of their data within 30 days; after that period the data is permanently deleted from production systems and from backups within the technical rotation times.

07 Recipients and external processors

Personal data may be disclosed — always respecting the minimisation principle and the appropriate legal basis — to the following categories of recipients:

IT suppliers managing cloud infrastructure, hosting, email, backup and IT security (appointed as processors under Art. 28);
Advisers in legal, tax, employment and privacy matters (bound by professional confidentiality);
Credit institutions for managing collections and payments;
Public authorities where disclosure is required by law or by judicial order;
The client's suppliers within the Supplier Portal (limited to data strictly necessary for the B2B relationship authorised by the client controller).

The full, up-to-date list of sub-processors can be requested at any time by writing to the DPO.

08 Transfers of data outside the EU / UK

VIGILO HQ has chosen cloud infrastructure located in Italy / the European Union. By default, personal data is not transferred outside the European Economic Area or the United Kingdom.

Where a transfer outside the EEA/UK becomes necessary for limited technical needs (e.g. transactional email, error monitoring, support), it will take place only towards countries covered by an adequacy decision (of the European Commission for EU data, or UK adequacy regulations for UK data), or on the basis of appropriate safeguards: the EU Standard Contractual Clauses (Commission Decision 2021/914) for EU data and, for UK data, the ICO's International Data Transfer Agreement (IDTA) or the UK Addendum to the EU SCCs — supplemented, where required, by a transfer risk assessment.

09 Your rights

At any time you may exercise the rights set out in Articles 15–22 of the GDPR / UK GDPR, in particular:

Right of access (Art. 15) — obtain confirmation of whether processing is taking place and receive a copy of the data;
Right to rectification (Art. 16) — correct inaccurate or incomplete data;
Right to erasure (Art. 17, "right to be forgotten") in the cases provided for;
Right to restriction of processing (Art. 18);
Right to data portability (Art. 20) — receive your data in a structured, commonly used, machine-readable format;
Right to object (Art. 21), including to direct marketing;
Right not to be subject to solely automated decisions (Art. 22);
Right to withdraw consent at any time (Art. 7(3)), without affecting processing already carried out.

To exercise these rights, simply send a request to dpo@vigilohq.com or by certified email to vigilohqsrl@legalmail.it. The controller will respond without undue delay and in any case within one month (extendable by two further months for particularly complex requests, with notice).

10 Right to lodge a complaint

You have the right to lodge a complaint with a supervisory authority. In Italy this is the Garante per la protezione dei dati personali (www.garanteprivacy.it); EU residents may also contact the supervisory authority of their habitual residence. In the United Kingdom, you may complain to the Information Commissioner's Office (ICO) at ico.org.uk. You may also bring proceedings before the competent courts. We encourage you to contact us first so we can address your concern directly.

11 Children's data

The VIGILO HQ website and services are aimed at a professional audience (managers, area managers, controllers, suppliers). We do not intentionally process the data of children below the applicable age of digital consent — 16 under the EU GDPR (lowered to 14 in Italy under Art. 2-quinquies of the Privacy Code) and 13 under the UK GDPR / Data Protection Act 2018. Should we become aware of the accidental processing of a child's data without the consent of the holder of parental responsibility, we will delete it without delay.

12 Security measures

The controller adopts appropriate technical and organisational measures (Art. 32 GDPR / UK GDPR) to ensure a level of security appropriate to the risk, including:

Encryption of data in transit (TLS 1.3) and at rest (AES-256);
Two-factor authentication (TOTP 2FA) on privileged access;
Logical multi-tenant segregation per client;
Granular role-based access control (RBAC) by site and job;
WORM (Write Once Read Many) audit trail on all economic and compliance writes;
Cryptographic hash chain for the archiving of sensitive registers (HACCP, Safety, Governance);
Geographically redundant automatic backups with Point-in-Time Recovery;
Perimeter protection systems (WAF, DDoS shield);
Data-breach management procedures compliant with Art. 33 GDPR / UK GDPR, with notification to the supervisory authority within 72 hours;
Regular staff training on IT security and data protection;
Periodic vulnerability assessments and penetration tests.

13 Changes to this notice

The controller reserves the right to amend this notice at any time, giving notice through the website and, where applicable, by direct communication to data subjects. The last-updated date is shown at the top of the document.

Questions? Write to dpo@vigilohq.com for any clarification about this notice or to exercise your GDPR / UK GDPR rights.