Regione Liguria

Sant'Antonio Servizi SRL

Sant'Antonio Servizi SRL Società in-house dell'A.S.P. Ospedale S.Antonio

Privacy Policy

Informativa privacy (artt. 13–14 GDPR)

Titolare del trattamento

Sant’Antonio Servizi S.r.l. (“Titolare”) – Via Gerolamo Badano, 23 – 17046 Sassello (SV) – PEC: santantonio.sassello@pec.it – info@santantoniosassello.it.

Responsabile della Protezione dei Dati (RPD/DPO)

Dasein Srl, con sede in Lungo Dora Pietro Colletta, 81, 10153 Torino TO

  • E-mail: dpo@dasein.it
  • PEC: dasein@legalmail.it

Siti e servizi coperti

Questa informativa si applica al sito srl.santantonio.liguria.it e ai servizi online accessibili da tale dominio (di seguito “Sito”).

1. Dati trattati

  • Dati di navigazione: log tecnici del web server (es. indirizzo IP, data/ora, user agent), necessari al funzionamento e alla sicurezza.
  • Accesso con SPID (autenticazione): l’autenticazione SPID avviene tramite il sito dell’A.S.P. Ospedale S. Antonio (santantonio.liguria.it), che funge da gateway SAML. L’A.S.P. riceve dall’Identity Provider SPID scelto dall’utente il fiscalNumber (codice fiscale) e lo trasmette a Sant’Antonio Servizi S.r.l. mediante un meccanismo di token one-time sicuro. La S.r.l. riceve esclusivamente il codice fiscale, utilizzato per identificare il dipendente e consentire l’accesso all’area riservata.
  • Accesso con CIE (Carta d’Identità Elettronica): l’autenticazione CIE avviene anch’essa tramite il gateway dell’A.S.P. Ospedale S. Antonio, che riceve il fiscalNumber dal servizio “Entra con CIE” dell’Istituto Poligrafico e Zecca dello Stato (IPZS) e lo trasmette alla S.r.l. con le medesime modalità tecniche dell’autenticazione SPID (token one-time). La S.r.l. riceve esclusivamente il codice fiscale.
  • Accesso con OTP via email: codice monouso inviato all’indirizzo email aziendale del dipendente. Il Titolare tratta l’indirizzo email e l’hash del codice OTP per il tempo strettamente necessario all’autenticazione (5 minuti).
  • Account/utenze interne: metadati utente WordPress (es. ruolo “dipendente_srl”, codice fiscale abbinato, nome, cognome, email aziendale).
  • Log degli accessi: il Sito registra gli eventi di autenticazione (data/ora, tipo di evento, indirizzo IP, email, esito) ai fini di sicurezza e tracciabilità.
  • Cookie e tecnologie simili: vedi § 7.

2. Finalità e basi giuridiche (art. 6 GDPR)

Finalità Base giuridica
Erogazione del Sito e sicurezza (log, prevenzione abusi) Legittimo interesse del Titolare (art. 6.1.f), connesso alla necessità di garantire la sicurezza dei sistemi informativi.
Autenticazione e gestione accessi all’area dipendenti tramite SPID, CIE o OTP Esecuzione del contratto di lavoro e/o adempimento di obblighi legali (art. 6.1.b–c), in relazione alla gestione del rapporto lavorativo e alla normativa su identità digitale.
Gestione delle utenze interne (autorizzazioni/ruoli) Esecuzione del contratto e legittimo interesse.
Registrazione log degli accessi Legittimo interesse (art. 6.1.f) per la sicurezza dei sistemi, nonché adempimento di obblighi legali in materia di amministrazione digitale.
Statistiche e funzionalità non essenziali Consenso (art. 6.1.a), ove applicabile.

Non effettuiamo decisioni automatizzate che producano effetti giuridici, né profilazione.

3. Provenienza dei dati e ruoli privacy

SPID e CIE. L’autenticazione avviene tramite il sito dell’A.S.P. Ospedale S. Antonio (santantonio.liguria.it), che funge da gateway tecnico. L’A.S.P. riceve il codice fiscale dall’Identity Provider SPID o dal servizio CIE dell’IPZS, e lo trasmette alla S.r.l. mediante un token crittografico one-time con validità di 60 secondi, verificato tramite API REST con chiave condivisa.

L’A.S.P. agisce quale Responsabile del trattamento ai sensi dell’art. 28 GDPR per la fase di trasmissione del dato identificativo, in virtù di apposito accordo tra le parti. Gli Identity Provider SPID e l’IPZS (per CIE) sono titolari autonomi per i trattamenti relativi all’identificazione dell’utente.

OTP via email. L’email aziendale è quella associata all’utenza del dipendente nel sistema WordPress della S.r.l. Il codice OTP viene generato e verificato interamente dal Sito.

Durante l’uso del Sito, i dati possono essere trattati anche da responsabili del trattamento (fornitori ICT/hosting) vincolati da contratto ex art. 28 GDPR.

4. Conferimento dei dati

  • Tecnici/di sicurezza: necessari; in mancanza, il Sito potrebbe non funzionare.
  • SPID/CIE/OTP/area dipendenti: necessari per accedere ai servizi riservati. In mancanza non sarà possibile effettuare l’accesso.
  • Cookie non essenziali: facoltativi; se rifiutati, il Sito resta fruibile.

5. Tempi di conservazione

  • Log tecnici (navigazione): di norma 6 mesi, salvo necessità difensive o obblighi di legge.
  • Dati di autenticazione (SPID/CIE/OTP) e utenze: per il tempo di validità dell’utenza e del rapporto lavorativo, e successivamente secondo i termini di conservazione degli atti amministrativi e lavoristici.
  • Log degli accessi: 12 mesi dalla registrazione, salvo necessità difensive o di indagine.
  • OTP (hash del codice): 5 minuti dall’invio (cancellazione automatica).
  • Cookie: secondo le durate specificate nella cookie policy (§ 7).

6. Destinatari e trasferimenti extra-UE

I dati sono trattati su infrastrutture di hosting (Aruba Business). Il dato identificativo (codice fiscale) transita inoltre sul sito dell’A.S.P. Ospedale S. Antonio nella fase di autenticazione SPID/CIE. Laddove ci si avvalga di fornitori extra-UE, il Titolare adotta garanzie adeguate (artt. 44–49 GDPR). L’elenco aggiornato dei responsabili è disponibile su richiesta.

7. Cookie e tecnologie simili

Il Sito utilizza esclusivamente cookie tecnici necessari al funzionamento (es. cookie di sessione WordPress, cookie di autenticazione). Non vengono utilizzati cookie di profilazione o di terze parti, salvo diversa indicazione futura che sarà comunicata con apposito banner.

[Se in futuro attivate Cookiebot o analytics anche sulla SRL, sostituite questo paragrafo con il testo analogo a quello dell’ASP.]

8. Sicurezza

Misure tecniche e organizzative adeguate (cifratura TLS, hardening server, controllo accessi, logging, backup). Il trasferimento del codice fiscale dal gateway ASP avviene tramite token crittografico one-time con scadenza di 60 secondi, verificato via API REST autenticata. Gli hash dei codici OTP sono generati con algoritmo bcrypt e cancellati automaticamente dopo 5 minuti. I log degli accessi sono protetti da accesso non autorizzato.

9. Diritti degli interessati (artt. 15–22 GDPR)

Hai diritto di accedere ai tuoi dati, rettificarli, cancellarli (nei limiti), limitarne il trattamento, opporti per motivi legittimi, e revocare il consenso (per i trattamenti basati su consenso) senza pregiudicare la liceità pre-revoca.

Per esercitare i diritti, puoi contattare:

  • Il Titolare: santantonio.sassello@pec.it – info@santantoniosassello.it
  • Il DPO (se nominato): dpo@dasein.it – PEC: dasein@legalmail.it

Hai inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

10. Modifiche

Ci riserviamo di aggiornare l’informativa in caso di modifiche ai trattamenti o alla normativa. Ultimo aggiornamento: 28 aprile 2026.

Ultimo aggiornamento

28 Aprile 2026, 18:02