GDPR

GDPR & Trattamento Dati Personali

Come myGEST S.r.l. tutela i dati trattati tramite il software myGEST

In questa pagina spieghiamo in modo trasparente come proteggiamo i dati personali affidati al nostro SaaS e come sono ripartite le responsabilità tra myGEST S.r.l. e i Clienti che utilizzano la piattaforma.

• MDPA / DPA (Accordo per il Trattamento dei Dati): mygest.it/mdpa

• Policy & Cookie Policy: mygest.it/cookie-policy

---

1) Informazioni generali

Cos’è il GDPR
Il Regolamento (UE) 2016/679 (“GDPR”) disciplina la protezione dei dati personali nell’UE, in vigore dal 25 maggio 2018. Stabilisce principi, diritti e obblighi per Titolari e Responsabili del trattamento.

Cos’è un dato personale
Qualsiasi informazione riferita a una persona fisica identificata o identificabile (es. nome, email, telefono, immagine). Alcune categorie sono “particolari” (es. dati sulla salute) e richiedono tutele aggiuntive.

Cos’è un trattamento
Qualunque operazione eseguita sui dati (raccolta, consultazione, modifica, comunicazione, cancellazione, conservazione, trasmissione).

---

2) Ruoli e responsabilità

Cliente = Titolare del trattamento
Il Cliente che usa myGEST decide finalità e mezzi dei trattamenti effettuati nella piattaforma (es. quali dati inserire, per quali scopi, per quanto tempo conservarli, chi può accedervi).
Il Cliente è unico responsabile di:

• base giuridica, informative agli interessati e, ove necessario, consensi;

• esattezza e pertinenza dei dati immessi;

• configurazioni del SaaS (ruoli, permessi, tempi di conservazione, integrazioni);

• riscontro alle richieste degli interessati (diritti ex artt. 12–22 GDPR);

• esecuzione di eventuali DPIA e tenuta del Registro dei trattamenti.

myGEST S.r.l. = Responsabile del trattamento (art. 28 GDPR)
Per i dati che il Cliente inserisce e tratta tramite myGEST, myGEST S.r.l. agisce come Responsabile del trattamento e tratta i dati solo su istruzioni documentate del Cliente, adottando misure tecnico-organizzative adeguate, descritte in MDPA/DPA.
myGEST non determina le finalità/mezzi dei trattamenti del Cliente e non controlla i contenuti immessi o le operazioni svolte dagli utenti del Cliente nel SaaS.

DPO / Responsabile della Protezione dei Dati (RPD)
myGEST può aver nominato un DPO/RPD ai sensi degli artt. 37–39 GDPR. Il DPO è figura indipendente di consulenza e vigilanza e non coincide con il “Responsabile del trattamento”.

---

3) Clausola di non ingerenza e limitazione di responsabilità

myGEST non è responsabile di:

• utilizzo del SaaS da parte del Cliente e dei suoi utenti;

• tipologie/contenuti dei dati caricati (accuratezza, pertinenza, liceità);

• configurazioni e policy definite dal Cliente (permessi, retention, esportazioni, integrazioni);

• trattamenti illeciti o non conformi posti in essere dal Cliente o dai suoi incaricati.

myGEST risponde unicamente dell’adempimento degli obblighi che le competono come Responsabile (sicurezza, riservatezza, assistenza per diritti e data breach, gestione sub-responsabili, ecc.), come dettagliato in MDPA/DPA.

---

4) Sicurezza, privacy by design & by default

Applichiamo misure tecniche e organizzative adeguate e proporzionate al rischio, tra cui (esempi non esaustivi):

• Cifratura dei dati in transito (TLS) e, ove applicabile, a riposo;

• Segregazione logica dei tenant, controllo accessi “least-privilege”, MFA per account critici;

• Logging/Audit trail e monitoraggio di sicurezza;

• Backup regolari e test di ripristino; Business Continuity & Disaster Recovery;

• Patch management e gestione vulnerabilità; revisione sicura del codice;

• Formazione e impegni di riservatezza del personale;

• Sub-responsabili qualificati, vincolati da accordi conformi all’art. 28 GDPR (vedi MDPA/DPA).

I dettagli e gli impegni contrattuali sono descritti in MDPA/DPA.

---

5) Conservazione e cancellazione dei dati

• Durata: i dati del Cliente sono trattati per la durata del rapporto contrattuale e, successivamente, per il tempo strettamente necessario all’adempimento di obblighi legali o alla chiusura tecnica del rapporto (es. esportazione dati).

• Cancellazione/anonimizzazione: al termine, myGEST procede alla cancellazione o anonimizzazione secondo procedure interne documentate (salvo obblighi di legge o esigenze di tutela dei diritti).

I tempi specifici di conservazione sono definiti dal Cliente in quanto Titolare, tramite configurazioni/procedure interne.

---

6) Trasferimenti extra-UE

Il trattamento avviene prevalentemente nello Spazio Economico Europeo (SEE). Eventuali trasferimenti verso Paesi terzi sono effettuati solo in presenza di garanzie adeguate (decisioni di adeguatezza, Clausole Contrattuali Standard/SCC, o altre basi legittime ai sensi degli artt. 44–49 GDPR), come previsto in MDPA/DPA.

---

7) Data breach & gestione incidenti

• Se myGEST opera come Responsabile, in caso di violazione dei dati notifica senza ingiustificato ritardo il Cliente, fornendo le informazioni utili per l’eventuale notifica all’Autorità e agli interessati ai sensi degli artt. 33–34 GDPR.

• La decisione e l’onere della notifica all’Autorità/Garante e agli interessati restano in capo al Titolare (Cliente), salvo i trattamenti per cui myGEST agisce come Titolare (es. dati amministrativi e di fatturazione del rapporto contrattuale).

---

8) Diritti degli interessati

Gli interessati possono esercitare i diritti di accesso, rettifica, cancellazione, limitazione, opposizione, portabilità e di non essere soggetti a decisioni unicamente automatizzate:

• Per i dati trattati nel SaaS (Cliente=Titolare): le richieste vanno indirizzate al Cliente, che potrà coinvolgere myGEST per l’assistenza tecnica necessaria (MDPA/DPA).

• Per i trattamenti di cui myGEST è Titolare (es. amministrazione/assistenza): scrivere ai contatti indicati alla Sezione 10.

---

9) Sottoscrizione di MDPA/DPA

L’Accordo per il Trattamento (MDPA/DPA) è integrato nei Termini e Condizioni del servizio myGEST; l’accettazione dei T&C comporta l’accettazione di MDPA/DPA.
Testo e allegati sono disponibili qui: mygest.it/mdpa.

---

10) Contatti, Titolare & DPO

Titolare
myGEST S.r.l. – Via Ostiense 131/L, 00154 Roma (RM), Italia
PEC (anche per istanze formali): mygestsrl@pec.it

DPO/RPD (se nominato)

• PEC: mygestsrl@pec.it

• Posta: myGEST S.r.l., Via Ostiense 131/L – 00154 Roma (RM), c.a. DPO
  Nelle comunicazioni indica sempre nome, recapiti e la società/tenant a cui si riferisce la richiesta.

Policy
Per informazioni su cookie e tecnologie affini consulta la Policy & Cookie Policy.

---

11) FAQ

Chi è responsabile dei dati inseriti in myGEST?
Il Cliente è Titolare del trattamento e rimane unico responsabile delle finalità e dei mezzi dei trattamenti svolti nel SaaS, nonché dei contenuti immessi e delle configurazioni scelte. myGEST agisce come Responsabile del trattamento per l’erogazione del servizio, secondo MDPA/DPA, e non controlla l’uso che il Cliente fa dei dati.

I miei dati sono al sicuro?
Sì. Applichiamo misure tecniche e organizzative adeguate (cifratura, segregazione, accessi minimi, backup/DR, monitoraggio, gestione vulnerabilità). I dettagli sono in MDPA/DPA.

Cosa succede alla cessazione del contratto?
Mettiamo a disposizione l’esportazione dei dati e, terminata la chiusura tecnica, procediamo a cancellazione/anonimizzazione secondo le nostre procedure interne (salvo obblighi di legge).