Vidima logoVidima
ENAccediIscriviti gratis
Legal & Compliance

Privacy Policy

Informativa privacy completa per Vidima, supplier verification cloud di UESE ITALIA S.p.A., relativa a account, profili fornitore, certificazioni, documenti, buyer workspace, AI assistiva e audit trail.

Read in EnglishContatta DPO / UESE
Logo UESE ITALIA S.p.A.
Vidima è una piattaforma di UESE ITALIA S.p.A.Sede: Piazza Trivulziana 4/A, 20126 Milano (IT) · Email: info@uese.eu · Tel. 02 5656 8416 · DPO: dr. Giuseppe Izzo
Versione: 2.0 enterpriseUltimo aggiornamento: 05/06/2026Titolare piattaforma: UESE ITALIA S.p.A.DPO: dr. Giuseppe Izzo
Nota legale di sintesi. Il documento è redatto per un contesto SaaS enterprise e deve essere letto insieme al contratto attivo, alla configurazione tecnica, ai cookie effettivamente installati, ai sub-responsabili e ai provider AI concretamente abilitati in produzione.

1. Titolare del trattamento, DPO e canali di contatto

Titolare del trattamento: UESE ITALIA S.p.A., Piazza Trivulziana 4/A, 20126 Milano (IT), P.IVA/C.F. 04398760274, titolare della piattaforma Vidima. Per richieste privacy, sicurezza, esercizio dei diritti o chiarimenti sul trattamento è possibile scrivere a info@uese.eu oppure contattare il numero 02 5656 8416.

Data Protection Officer: dr. Giuseppe Izzo. Le comunicazioni indirizzate al DPO devono indicare nell’oggetto “Vidima - Privacy/DPO” e, ove applicabile, la società di appartenenza, il ruolo del richiedente e il riferimento operativo della richiesta.

2. Perimetro della piattaforma

Vidima è un portale SaaS destinato alla gestione di profili fornitori, certificazioni ISO, evidenze documentali, richieste buyer, questionari di qualifica e funzionalità di supporto AI. La piattaforma tratta prevalentemente informazioni aziendali; tuttavia, nei documenti caricati e nei profili utente possono essere presenti dati personali di referenti, amministratori, operatori, buyer, consulenti o altri soggetti identificabili.

Il trattamento è progettato secondo principi di liceità, correttezza, trasparenza, minimizzazione, limitazione della finalità, esattezza, conservazione limitata, integrità, riservatezza e accountability.

3. Categorie di dati trattati

Le categorie di dati possono variare in base al piano, alle funzioni attivate, alle impostazioni di visibilità e ai documenti caricati dall’utente autorizzato. Vidima non richiede categorie particolari di dati personali; qualora l’utente le inserisca impropriamente in documenti o note libere, il trattamento avverrà solo nei limiti necessari alla gestione tecnica e contrattuale del servizio.

  • Dati account: nome, cognome, email, ruolo, password cifrata, stato account, 2FA, recovery codes, log di accesso e sicurezza.
  • Dati aziendali: ragione sociale, P.IVA/VAT, indirizzi, settore, sito web, descrizione, profilo pubblico, readiness score, piano SaaS e informazioni di billing.
  • Dati documentali: certificazioni ISO, scadenze, scope, organismi di certificazione, evidenze QHSE/ESG, visure, policy, assicurazioni, DURC o documenti analoghi se caricati.
  • Dati buyer e richieste: messaggi, inviti, watchlist, shortlist, richieste di qualifica, questionari, risposte, stati di lavorazione e note procurement.
  • Dati tecnici: indirizzi IP, user agent, audit log, eventi di sicurezza, impersonificazione superadmin, consensi, attività amministrative e log applicativi.

4. Finalità del trattamento

I dati sono trattati per consentire la registrazione, l’autenticazione, la gestione degli account, la creazione del profilo fornitore, il caricamento e la verifica documentale, la pubblicazione controllata del profilo, la compilazione assistita dei questionari, la gestione delle richieste buyer, la sicurezza della piattaforma, il supporto operativo e la tracciabilità delle attività.

  • Erogazione del servizio SaaS e gestione del rapporto contrattuale o precontrattuale.
  • Verifica documentale, controllo coerenza dati, gestione scadenze e generazione di badge/rapporti.
  • Supporto AI alla compilazione di risposte, sempre soggetto a revisione umana dell’utente o dell’operatore autorizzato.
  • Comunicazioni operative, amministrative, tecniche, di sicurezza e, se richiesto, commerciali.
  • Adempimenti legali, tutela dei diritti, prevenzione abusi, audit, sicurezza e continuità operativa.

5. Basi giuridiche

Le basi giuridiche applicabili sono individuate in funzione della specifica finalità: esecuzione di misure contrattuali o precontrattuali, adempimento di obblighi di legge, legittimo interesse del titolare e degli utenti business alla sicurezza e alla corretta gestione del servizio, consenso ove richiesto per pubblicazioni facoltative o comunicazioni non strettamente necessarie.

  • Contratto o misure precontrattuali: account, dashboard, caricamento documenti, profilo fornitore, buyer workspace.
  • Legittimo interesse: sicurezza, audit log, prevenzione frodi, gestione tecnica, miglioramento funzionale e tutela del servizio.
  • Consenso: pubblicazione di informazioni facoltative, contatti marketing ove attivati, preferenze non necessarie.
  • Obbligo legale: conservazioni, richieste di autorità, compliance fiscale, contabile o giudiziaria ove applicabile.

6. Profilo pubblico, buyer e visibilità documentale

L’azienda decide quali informazioni rendere pubbliche, private o disponibili a buyer autorizzati. Il profilo pubblico può includere dati aziendali, certificazioni, stato di verifica, badge, readiness, link a report e documenti contrassegnati come pubblici. I documenti non pubblici non devono essere resi accessibili a terzi se non tramite impostazioni o autorizzazioni esplicite.

L’azienda rimane responsabile dell’esattezza, pertinenza e aggiornamento delle informazioni rese disponibili ai buyer tramite Vidima.

7. AI assistiva e supervisione umana

Le funzionalità AI di Vidima sono concepite come strumenti di supporto per estrarre dati, classificare documenti, proporre risposte e organizzare evidenze. Le risposte generate non devono essere considerate dichiarazioni definitive, pareri legali o certificazioni. Prima dell’invio a buyer o terzi, l’utente autorizzato deve verificare e approvare il contenuto.

  • Le risposte AI devono essere collegate, quando possibile, a fonti documentali.
  • Il sistema deve segnalare dati mancanti, dubbi o bassa confidenza.
  • La responsabilità dell’invio e della dichiarazione finale resta in capo all’azienda che approva la risposta.

8. Destinatari e sub-responsabili

I dati possono essere trattati da personale autorizzato UESE, operatori tecnici, fornitori hosting, manutentori software, servizi email, sistemi di sicurezza, strumenti di logging, eventuali provider AI/OCR e soggetti necessari all’erogazione del servizio. L’elenco effettivo dei sub-responsabili deve essere mantenuto aggiornato nella documentazione contrattuale o nel Data Processing Agreement applicabile.

9. Conservazione

I dati sono conservati per il tempo necessario all’erogazione del servizio, alla gestione del rapporto, alla sicurezza, alla tutela dei diritti e agli obblighi normativi. La durata concreta dipende dal tipo di dato, dal piano attivo, dalle configurazioni tecniche e dalla presenza di obblighi contrattuali o legali.

  • Account e profili: per la durata del rapporto e per un periodo successivo necessario alla gestione amministrativa e alla tutela dei diritti.
  • Documenti caricati: fino a cancellazione, scadenza del rapporto, richiesta valida dell’utente o diverso accordo contrattuale.
  • Log e audit trail: per esigenze di sicurezza, accountability, prevenzione abusi e verifica delle attività privilegiate.
  • Backup: per cicli tecnici di conservazione e ripristino, con accesso limitato e cancellazione progressiva secondo policy tecniche.

10. Trasferimenti extra UE

Qualora alcuni fornitori tecnici o servizi cloud comportino trasferimenti verso Paesi extra SEE, tali trasferimenti devono avvenire sulla base di strumenti giuridici adeguati, quali decisioni di adeguatezza, clausole contrattuali standard, misure supplementari o altri presupposti previsti dal GDPR.

11. Diritti degli interessati

Gli interessati possono esercitare, nei limiti previsti dalla normativa, i diritti di accesso, rettifica, cancellazione, limitazione, opposizione, portabilità e revoca del consenso. Le richieste devono essere inviate a info@uese.eu, indicando il riferimento “Vidima”, l’azienda collegata e gli elementi utili all’identificazione della richiesta.

Resta ferma la possibilità di proporre reclamo all’Autorità Garante competente, ove ricorrano i presupposti.

Nota di governance.
Prima del go-live definitivo il set legale deve essere validato rispetto a stack produttivo, contratti, flussi dati, hosting, SMTP, provider AI/OCR, cookie e condizioni commerciali effettivamente attivati.