Privacy Policy – MyFactories

Ultimo aggiornamento: 07 aprile 2026

La presente informativa, resa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (“GDPR”) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (“Codice Privacy”), descrive le modalità di raccolta, utilizzo e conservazione dei dati personali da parte dell’applicazione MyFactories, di proprietà di BICSGROUP srl, progettata per la gestione aziendale di mensa, permessi, ferie, trasferte, timbrature, documenti del personale e assistenza HR conversazionale tramite intelligenza artificiale.

L’app è destinata esclusivamente all’uso da parte di dipendenti di aziende clienti situate sul territorio italiano.

1. Titolare del trattamento

BICSGROUP srl Via Ventura Vitoni, 5 – 51100 Pistoia (PT) Email: app@bics.group

In relazione ai dati dei dipendenti delle aziende clienti, BICSGROUP srl agisce in qualità di Responsabile del trattamento (data processor) ai sensi dell’art. 28 GDPR per conto delle aziende clienti, che rivestono il ruolo di Titolari del trattamento. Il rapporto è disciplinato da apposito accordo di nomina a Responsabile del trattamento sottoscritto tra BICSGROUP srl e ciascuna azienda cliente.

2. Dati raccolti

L’app raccoglie esclusivamente dati personali necessari al funzionamento dei servizi aziendali interni, tra cui:

  • Nome e cognome
  • Email aziendale
  • Codice identificativo aziendale del dipendente
  • Abitudini alimentari (es. vegetariano)
  • Informazioni su intolleranze e allergie alimentari (non considerati dati relativi alla salute ai sensi dell’art. 9 GDPR, in quanto utilizzati esclusivamente per la gestione del servizio mensa)
  • Dati relativi a richieste e approvazioni di ferie, permessi, trasferte e orari di lavoro
  • Dati di timbratura registrati tramite tecnologia NFC (data, ora, tipo di evento)
  • Documenti aziendali del lavoratore: contratti, certificati di idoneità medica al lavoro, attestati di formazione, documenti d’identità
  • Messaggi e domande inviate all’assistente AI “Lumi” (solo previo consenso esplicito dell’utente)
  • Token tecnico per l’invio di notifiche push al dispositivo dell’utente

3. Finalità del trattamento

I dati raccolti sono utilizzati esclusivamente per:

  • a) gestione delle preferenze alimentari e prenotazioni del servizio mensa aziendale
  • b) gestione delle richieste di ferie, permessi e trasferte e dei relativi flussi di approvazione
  • c) rilevazione delle presenze e degli orari di lavoro tramite timbratura NFC, ai fini dell’elaborazione delle paghe e dell’adempimento degli obblighi contrattuali e di legge
  • d) archiviazione e consultazione dei documenti aziendali del lavoratore
  • e) invio di notifiche push relative ad approvazioni, comunicazioni aziendali e scadenze
  • f) erogazione del servizio di assistenza conversazionale “Lumi” basato su intelligenza artificiale, su base volontaria
  • g) accesso sicuro all’app tramite credenziali aziendali

I dati non sono utilizzati per scopi pubblicitari, di profilazione, né per il controllo a distanza dell’attività lavorativa ai sensi dell’art. 4 della Legge 300/1970 (Statuto dei Lavoratori).

4. Base giuridica del trattamento

Il trattamento dei dati relativi alla gestione del rapporto di lavoro (finalità a–e, g) trova la propria base giuridica in:

  • art. 6, par. 1, lett. b) GDPR – esecuzione di obblighi contrattuali derivanti dal rapporto di lavoro
  • art. 6, par. 1, lett. c) GDPR – adempimento di obblighi di legge cui è soggetto il datore di lavoro (normativa giuslavoristica, fiscale, previdenziale)
  • art. 88 GDPR e art. 4 della Legge 300/1970 (Statuto dei Lavoratori) – utilizzo di strumenti di rilevazione delle presenze nel rispetto delle procedure previste dalla normativa, ivi incluso, ove applicabile, l’accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro

Il trattamento dei dati legati all’utilizzo dell’assistente AI “Lumi” (finalità f) si basa sul consenso esplicito dell’utente ai sensi dell’art. 6, par. 1, lett. a) GDPR, raccolto al primo utilizzo della funzionalità tramite apposita schermata informativa. L’utente può rifiutare il consenso o revocarlo in qualsiasi momento, senza alcuna conseguenza sull’utilizzo delle altre funzionalità dell’app e senza alcun pregiudizio sul rapporto di lavoro.

5. Modalità di autenticazione

L’accesso all’app è riservato esclusivamente ai dipendenti delle aziende clienti maggiorenni mediante:

  • Inserimento di email aziendale e password
  • Codice identificativo univoco fornito dall’azienda

Le credenziali sono personali e non cedibili.

6. Conservazione e protezione dei dati

I dati sono archiviati in modo sicuro all’interno della piattaforma Firebase (Google Ireland Limited / Google LLC), in data center situati nell’Unione Europea (regione europe-west1, Belgio), che garantisce standard elevati di sicurezza e protezione conformi al GDPR. L’accesso ai dati è limitato al personale autorizzato e protetto da meccanismi di autenticazione e cifratura.

Non viene utilizzato Google Analytics né altri sistemi di tracciamento o profilazione comportamentale.

Periodi di conservazione:

  • Dati di timbratura, ferie, permessi e trasferte: per tutta la durata del rapporto di lavoro e successivamente per il termine di prescrizione previsto dalla legge (di regola 5 anni ai sensi dell’art. 2948 c.c., salvo diversi obblighi fiscali o previdenziali)
  • Documenti del lavoratore: per la durata del rapporto di lavoro e per i termini previsti dalla normativa applicabile
  • Dati relativi alle preferenze alimentari e prenotazioni mensa: fino a revoca da parte dell’utente o cessazione del rapporto di lavoro
  • Cronologia conversazioni con l’assistente AI Lumi: 90 giorni dall’ultima interazione, salvo diversa scelta dell’utente
  • Token di notifica push: fino alla disinstallazione dell’app o disattivazione delle notifiche

Al termine dei periodi di conservazione, i dati vengono cancellati o anonimizzati in modo irreversibile.

7. Servizi di intelligenza artificiale (Lumi)

MyFactories integra un assistente conversazionale AI denominato “Lumi”, che permette ai dipendenti di consultare in linguaggio naturale informazioni HR (es. saldo ferie, timbrature, documenti).

Per fornire il servizio, le domande dell’utente e i dati HR strettamente necessari a rispondere vengono trasmessi tramite API commerciale ad Anthropic PBC (società statunitense con sede a San Francisco, CA, USA), fornitore del modello linguistico Claude utilizzato da Lumi. Anthropic agisce in qualità di sub-responsabile del trattamento (sub-processor) sulla base di un Data Processing Addendum (DPA) conforme all’art. 28 GDPR.

Caratteristiche del trattamento tramite API Anthropic:

  • I dati trasmessi sono utilizzati esclusivamente per generare la risposta richiesta dall’utente
  • I dati NON vengono in alcun caso utilizzati da Anthropic per addestrare i propri modelli di intelligenza artificiale. Tale garanzia è prevista contrattualmente per tutti gli utilizzi tramite API commerciale e si applica indipendentemente da qualsiasi impostazione utente
  • I dati vengono conservati da Anthropic per un massimo di 30 giorni a fini di sicurezza e prevenzione abusi, dopodiché vengono eliminati
  • Il trasferimento dei dati verso gli Stati Uniti avviene sulla base delle Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914
  • Anthropic aderisce al framework EU-U.S. Data Privacy Framework

L’utente deve fornire consenso esplicito prima di poter utilizzare Lumi. Senza consenso, la funzionalità non è accessibile e non viene effettuato alcun trasferimento di dati ad Anthropic.

Maggiori informazioni sulle pratiche privacy di Anthropic: https://privacy.claude.com

8. Altri responsabili del trattamento (sub-processor)

Oltre ad Anthropic, MyFactories utilizza i seguenti fornitori esterni che agiscono come responsabili del trattamento ai sensi dell’art. 28 GDPR:

  • Google Ireland Limited / Google LLC (Firebase) – hosting database, autenticazione, storage documenti, esecuzione funzioni server-side, notifiche push (Firebase Cloud Messaging). Data center situati nell’Unione Europea (Belgio)
  • Twilio Inc. (SendGrid) – invio di email transazionali (es. notifiche di approvazione)
  • Anthropic PBC – elaborazione richieste tramite modello AI Claude (vedi sezione 7)

L’elenco aggiornato dei sub-responsabili può essere richiesto in qualsiasi momento al Titolare scrivendo a app@bics.group.

9. Trasferimento dei dati verso Paesi terzi

Alcuni sub-responsabili (Anthropic, Twilio SendGrid) hanno sede negli Stati Uniti d’America. Il trasferimento dei dati verso tali Paesi avviene esclusivamente nel rispetto delle garanzie previste dal Capo V del GDPR, in particolare attraverso:

  • Clausole Contrattuali Standard approvate dalla Commissione Europea
  • Adesione al framework EU-U.S. Data Privacy Framework, ove applicabile
  • Misure tecniche e organizzative supplementari (cifratura in transito e a riposo)

10. Geolocalizzazione

L’app non raccoglie né utilizza dati di geolocalizzazione dell’utente. Le timbrature NFC non comportano la rilevazione della posizione geografica del dispositivo.

11. Contenuti generati dagli utenti

Gli utenti possono inserire informazioni personali come nome, cognome e preferenze alimentari, caricare documenti aziendali tramite le funzionalità previste dall’app e inviare messaggi testuali all’assistente AI Lumi (previo consenso).

12. Minori

L’app è destinata esclusivamente a personale dipendente maggiorenne. Nessun servizio è rivolto a minori di 18 anni e non vengono raccolti dati personali di minori.

13. Diritti dell’interessato

Ai sensi degli artt. 15-22 del GDPR, l’utente ha diritto di:

  • accedere ai propri dati personali (art. 15 GDPR)
  • ottenere la rettifica dei dati inesatti (art. 16 GDPR)
  • ottenere la cancellazione dei dati (“diritto all’oblio”, art. 17 GDPR), nei limiti previsti dalla legge
  • ottenere la limitazione del trattamento (art. 18 GDPR)
  • esercitare il diritto alla portabilità dei dati (art. 20 GDPR)
  • opporsi al trattamento (art. 21 GDPR)
  • revocare in qualsiasi momento il consenso prestato per l’utilizzo dell’assistente AI Lumi, senza che ciò pregiudichi la liceità del trattamento basata sul consenso prima della revoca
  • non essere sottoposto a decisioni automatizzate, compresa la profilazione (art. 22 GDPR)

Le richieste relative all’esercizio dei diritti possono essere inviate al Titolare all’indirizzo: app@bics.group

L’utente ha inoltre diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma – www.garanteprivacy.it) qualora ritenga che il trattamento dei propri dati personali violi il GDPR o la normativa nazionale applicabile.

14. Modifiche alla presente informativa

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone comunicazione agli utenti tramite l’app o all’indirizzo email aziendale. Le modifiche sostanziali, in particolare quelle relative all’introduzione di nuove finalità o nuovi sub-responsabili, saranno notificate con congruo anticipo.

La versione vigente è sempre consultabile all’interno dell’app e sul sito web del Titolare.