Data Protection & GDPR Information

Last updated: April 04, 2026

This page provides additional information about how personal data is processed on the Aviation OJT Trace platform, with a focus on compliance with the EU General Data Protection Regulation (GDPR) and Italian data protection law (D.Lgs. 196/2003 as amended by D.Lgs. 101/2018). It should be read together with our Privacy Policy and Terms of Service.

1. Data Controller and Data Processor

Aviation OJT Trace operates as a multi-tenant SaaS platform. In this context, the roles under GDPR are defined as follows:

• Data Controller: your employer or subscribing organization — the entity that determines the purposes and means of processing its employees' personal data through the platform.
• Data Processor: Aviation OJT Trace — we process personal data solely on behalf of and under the instructions of the Data Controller, in accordance with a Data Processing Agreement (DPA).

Each subscribing organization is responsible for ensuring it has a valid legal basis for processing its employees' data and for informing its users of this Privacy Policy.

2. Categories of Personal Data Processed

The following categories of personal data may be processed on the platform, depending on user role:

• Identification data: full name, email address, assigned role (Candidate/Trainee, Mentor/Instructor, Manager/Quality Assurance, Administrator), company, and base/station.
• Authentication data: username, hashed passwords, session tokens, and security logs.
• OJT training data: task records, digital endorsements, evaluations, instructor comments, qualification statuses, and training history.
• Branding assets: company logos uploaded for report personalization — these remain the exclusive property of the uploading organization.
• System metadata: IP addresses, browser information, access timestamps, and audit logs.
• Usage data: anonymized analytics used to monitor and improve platform performance.

3. Purposes of Processing

Personal data is processed for the following purposes:

• Managing user accounts, roles, and authentication.
• Recording, tracking, and validating OJT tasks, endorsements, and qualifications.
• Generating personalized training reports and documentation.
• Ensuring platform security, integrity, and audit trail maintenance.
• Supporting Managers/Quality Assurance and Administrators in monitoring training compliance.
• Aggregated and anonymized reporting and analytics (where permitted by the organization).
• Complying with applicable aviation regulatory requirements regarding training records.

4. Legal Bases for Processing

Processing of personal data is carried out under one or more of the following legal bases (GDPR Art. 6):

• Performance of a contract (Art. 6(1)(b)): processing necessary to provide the Service under the subscription agreement.
• Legal obligation (Art. 6(1)(c)): compliance with aviation regulations and mandatory record-keeping requirements (e.g. EASA, ENAC, DGAC, AESA, and other national/international aviation authority requirements).
• Legitimate interests (Art. 6(1)(f)): platform security, fraud prevention, and service improvement, where such interests are not overridden by the rights of data subjects.
• Consent (Art. 6(1)(a)): where explicitly requested, such as for non-essential analytics or marketing cookies.

5. Data Recipients and Third-Party Transfers

Access to personal data is strictly limited. Recipients may include:

• Authorized users within your organization: Trainees may access their own data; Instructors may access data of assigned trainees; HR Managers and Administrators may access organization-wide data within their tenant.
• Third-party service providers: infrastructure providers (hosting, database, email delivery) acting as sub-processors under Data Processing Agreements, bound by GDPR-equivalent obligations.
• Regulatory and supervisory authorities: when disclosure is required by Italian law, EU regulation, or applicable aviation authority requirements.

Data is strictly isolated per tenant. No personal data is accessible to or shared with other subscribing organizations. Any transfer of data outside the EU/EEA is carried out under appropriate safeguards (Standard Contractual Clauses or adequacy decisions) as required by GDPR Chapter V.

6. Data Retention Periods

Personal data is retained only for as long as necessary to fulfill the purposes described above or as required by applicable law. In particular:

• Active accounts: data is retained for the duration of the subscription.
• OJT training records: may be subject to extended retention in accordance with aviation regulatory requirements (e.g. EASA Part-ORA, ENAC rules).
• Upon subscription termination: data is retained for a limited grace period (as defined in the subscription agreement) before being permanently and securely deleted.
• Security and audit logs: retained for a defined period for security and compliance purposes, then deleted.

Users may request early deletion of their data, subject to any mandatory legal retention obligations that cannot be waived.

7. Your Rights Under GDPR

As a data subject, you have the following rights under the GDPR, exercisable subject to applicable conditions and limitations:

• Right of access (Art. 15): obtain confirmation of whether your data is processed and receive a copy.
• Right to rectification (Art. 16): request correction of inaccurate or incomplete personal data.
• Right to erasure (Art. 17): request deletion of your data where no longer necessary or where consent is withdrawn, subject to legal retention obligations.
• Right to restriction of processing (Art. 18): request that processing be temporarily limited under certain conditions.
• Right to data portability (Art. 20): receive your data in a structured, machine-readable format and transfer it to another controller.
• Right to object (Art. 21): object to processing based on legitimate interests.
• Right to withdraw consent (Art. 7(3)): withdraw consent at any time where processing is consent-based, without affecting the lawfulness of prior processing.
• Right to lodge a complaint: you have the right to lodge a complaint with the Italian data protection authority, the Garante per la protezione dei dati personali (www.garanteprivacy.it), or with the supervisory authority of your EU country of residence.

To exercise your rights, please contact your organization's administrator in the first instance, or reach us directly via the Contact us page. We will respond within 30 days as required by GDPR.

8. Security Measures

Aviation OJT Trace implements appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction, loss, alteration, unauthorized disclosure, or access. Measures include:

• Encrypted data transmission using TLS/HTTPS.
• Hashed storage of user passwords (no plaintext storage).
• Role-based access controls (RBAC) ensuring users only access data relevant to their role.
• Tenant data isolation preventing cross-organization data access.
• Regular security monitoring, logging, and audit trails.
• Periodic security reviews and updates.

In the event of a personal data breach, we will notify the affected Data Controller(s) without undue delay and, where required, the Garante per la protezione dei dati personali within 72 hours, in accordance with GDPR Art. 33–34.

9. Data Processing Agreement (DPA)

As a Data Processor, Aviation OJT Trace is available to enter into a Data Processing Agreement (DPA) with subscribing organizations as required by GDPR Art. 28. The DPA governs the specific terms under which we process personal data on behalf of the Data Controller. Organizations requiring a DPA may request one via the Contact us page.

---

This document provides an overview of data protection practices for the Aviation OJT Trace platform and does not replace any formal Data Processing Agreement between us and your organization. For legally binding terms, please refer to your organization's contractual documents and applicable data protection legislation. This page is governed by Italian law and EU GDPR. The competent supervisory authority is the Garante per la protezione dei dati personali.

Protezione dei Dati & Informazioni GDPR

Ultimo aggiornamento: 04 April 2026

La presente pagina fornisce informazioni aggiuntive sul trattamento dei dati personali sulla piattaforma Aviation OJT Trace, con particolare attenzione alla conformità al Regolamento Generale sulla Protezione dei Dati (GDPR) e alla normativa italiana in materia di protezione dei dati (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018). Va letta congiuntamente alla nostra Informativa sulla Privacy e ai Termini di Servizio.

1. Titolare e Responsabile del Trattamento

Aviation OJT Trace opera come piattaforma SaaS multi-tenant. In tale contesto, i ruoli ai sensi del GDPR sono definiti come segue:

• Titolare del Trattamento: il tuo datore di lavoro o l'organizzazione abbonata — l'entità che determina le finalità e i mezzi del trattamento dei dati personali dei propri dipendenti tramite la piattaforma.
• Responsabile del Trattamento: Aviation OJT Trace — trattiamo i dati personali esclusivamente per conto e su istruzione del Titolare del Trattamento, in conformità con un Accordo sul Trattamento dei Dati (DPA).

Ogni organizzazione abbonata è responsabile di assicurarsi di disporre di una base giuridica valida per il trattamento dei dati dei propri dipendenti e di informare i propri utenti della presente Informativa.

2. Categorie di Dati Personali Trattati

Le seguenti categorie di dati personali possono essere trattate sulla piattaforma, a seconda del ruolo dell'utente:

• Dati identificativi: nome completo, indirizzo email, ruolo assegnato (Tirocinante, Istruttore, Responsabile HR, Amministratore), azienda e base/stazione.
• Dati di autenticazione: username, password hashate, token di sessione e log di sicurezza.
• Dati formativi OJT: registri delle attività, endorsement digitali, valutazioni, commenti degli istruttori, stati delle qualifiche e storico formativo.
• Asset di branding: loghi aziendali caricati per la personalizzazione dei report — rimangono di esclusiva proprietà dell'organizzazione che li ha caricati.
• Metadati di sistema: indirizzi IP, informazioni sul browser, timestamp di accesso e log di audit.
• Dati di utilizzo: analytics anonimi utilizzati per monitorare e migliorare le prestazioni della piattaforma.

3. Finalità del Trattamento

I dati personali vengono trattati per le seguenti finalità:

• Gestione degli account utente, dei ruoli e dell'autenticazione.
• Registrazione, tracciamento e validazione delle attività OJT, degli endorsement e delle qualifiche.
• Generazione di report formativi e documentazione personalizzata.
• Garanzia della sicurezza della piattaforma, integrità e mantenimento delle tracce di audit.
• Supporto a Responsabili HR e Amministratori nel monitoraggio della conformità formativa.
• Reportistica e analytics aggregati e anonimi (ove consentito dall'organizzazione).
• Conformità ai requisiti normativi aeronautici applicabili in materia di registri formativi.

4. Basi Giuridiche del Trattamento

Il trattamento dei dati personali è effettuato sulla base di una o più delle seguenti basi giuridiche (Art. 6 GDPR):

• Esecuzione di un contratto (Art. 6(1)(b)): trattamento necessario per erogare il Servizio nell'ambito del contratto di abbonamento.
• Obbligo legale (Art. 6(1)(c)): conformità alle normative aeronautiche e agli obblighi di conservazione dei documenti (es. EASA, ENAC, DGAC, AESA e altri requisiti di autorità aeronautiche nazionali e internazionali).
• Legittimo interesse (Art. 6(1)(f)): sicurezza della piattaforma, prevenzione delle frodi e miglioramento del servizio, nei limiti in cui tali interessi non prevalgano sui diritti degli interessati.
• Consenso (Art. 6(1)(a)): ove espressamente richiesto, ad esempio per cookie analytics non essenziali.

5. Destinatari dei Dati e Trasferimenti a Terzi

L'accesso ai dati personali è strettamente limitato. I destinatari possono includere:

• Utenti autorizzati della tua organizzazione: i Tirocinanti possono accedere ai propri dati; gli Istruttori ai dati dei tirocinanti assegnati; Responsabili HR e Amministratori ai dati dell'intera organizzazione all'interno del proprio tenant.
• Fornitori di servizi terzi: provider di infrastrutture (hosting, database, email) che agiscono come sub-responsabili del trattamento, vincolati da accordi equivalenti al GDPR.
• Autorità di regolamentazione e vigilanza: quando la divulgazione è richiesta dalla legge italiana, dalla normativa UE o dalle autorità aeronautiche competenti.

I dati sono strettamente isolati per tenant. Nessun dato personale è accessibile o condiviso con altre organizzazioni abbonate. Qualsiasi trasferimento di dati al di fuori dell'UE/SEE viene effettuato con adeguate garanzie (Clausole Contrattuali Standard o decisioni di adeguatezza) ai sensi del Capitolo V del GDPR.

6. Periodi di Conservazione dei Dati

I dati personali vengono conservati solo per il tempo necessario al raggiungimento delle finalità descritte o come richiesto dalla legge applicabile. In particolare:

• Account attivi: i dati vengono conservati per tutta la durata dell'abbonamento.
• Registri formativi OJT: possono essere soggetti a conservazione prolungata in conformità ai requisiti normativi aeronautici (es. EASA Part-ORA, norme ENAC).
• Al termine dell'abbonamento: i dati vengono conservati per un periodo di grazia limitato (come definito nel contratto di abbonamento) prima di essere eliminati in modo permanente e sicuro.
• Log di sicurezza e audit: conservati per un periodo definito a fini di sicurezza e conformità, poi eliminati.

Gli utenti possono richiedere la cancellazione anticipata dei propri dati, nel rispetto degli obblighi legali di conservazione che non possono essere derogati.

7. I Tuoi Diritti ai Sensi del GDPR

In qualità di interessato, hai i seguenti diritti ai sensi del GDPR, esercitabili nel rispetto delle condizioni e limitazioni applicabili:

• Diritto di accesso (Art. 15): ottenere conferma del trattamento e ricevere una copia dei dati che ti riguardano.
• Diritto di rettifica (Art. 16): richiedere la correzione di dati inesatti o incompleti.
• Diritto alla cancellazione (Art. 17): richiedere la cancellazione dei dati quando non più necessari o in caso di revoca del consenso, nel rispetto degli obblighi legali di conservazione.
• Diritto di limitazione del trattamento (Art. 18): richiedere che il trattamento sia temporaneamente limitato in determinate condizioni.
• Diritto alla portabilità dei dati (Art. 20): ricevere i propri dati in un formato strutturato e leggibile da macchina e trasferirli a un altro titolare.
• Diritto di opposizione (Art. 21): opporsi al trattamento basato sul legittimo interesse.
• Diritto di revocare il consenso (Art. 7(3)): revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.
• Diritto di proporre reclamo: hai il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o all'autorità di controllo del tuo paese di residenza nell'UE.

Per esercitare i tuoi diritti, contatta in prima istanza l'amministratore della tua organizzazione, oppure scrivici direttamente tramite la pagina Contattaci. Risponderemo entro 30 giorni come richiesto dal GDPR.

8. Misure di Sicurezza

Aviation OJT Trace adotta misure tecniche e organizzative adeguate per proteggere i dati personali da distruzione, perdita, alterazione, divulgazione o accesso non autorizzati, accidentali o illeciti. Le misure includono:

• Trasmissione dei dati cifrata tramite TLS/HTTPS.
• Conservazione delle password in forma hashata (nessuna conservazione in chiaro).
• Controlli di accesso basati sui ruoli (RBAC) che garantiscono l'accesso solo ai dati pertinenti al proprio ruolo.
• Isolamento dei dati per tenant, che impedisce l'accesso ai dati tra organizzazioni diverse.
• Monitoraggio continuo della sicurezza, logging e tracce di audit.
• Revisioni e aggiornamenti periodici della sicurezza.

In caso di violazione dei dati personali, notificheremo i Titolari del Trattamento interessati senza ingiustificato ritardo e, ove richiesto, il Garante per la protezione dei dati personali entro 72 ore, in conformità agli Artt. 33–34 del GDPR.

9. Accordo sul Trattamento dei Dati (DPA)

In qualità di Responsabile del Trattamento, Aviation OJT Trace è disponibile a sottoscrivere un Accordo sul Trattamento dei Dati (DPA) con le organizzazioni abbonate, come richiesto dall'Art. 28 del GDPR. Il DPA disciplina i termini specifici in base ai quali trattiamo i dati personali per conto del Titolare del Trattamento. Le organizzazioni che necessitano di un DPA possono richiederlo tramite la pagina Contattaci.

---

Il presente documento fornisce una panoramica delle pratiche di protezione dei dati della piattaforma Aviation OJT Trace e non sostituisce alcun Accordo formale sul Trattamento dei Dati tra noi e la tua organizzazione. Per i termini giuridicamente vincolanti, fare riferimento ai documenti contrattuali dell'organizzazione e alla normativa applicabile in materia di protezione dei dati. La presente pagina è disciplinata dalla legge italiana e dal GDPR. L'autorità di controllo competente è il Garante per la protezione dei dati personali.