Privacy Policy

Last updated: April 04, 2026

This Privacy Policy explains how Aviation OJT Trace collects, uses, stores, and protects your personal data when you use our platform. We are committed to complying with the General Data Protection Regulation (GDPR) and other applicable international privacy laws.

1. Who We Are

Aviation OJT Trace is a multi-tenant SaaS platform designed for managing On-the-Job Training (OJT) in the aviation sector. The platform serves multiple organizations ("Companies"), each operating within their own isolated workspace. For the purposes of GDPR, your employer or subscribing organization acts as the Data Controller, while Aviation OJT Trace acts as the Data Processor on their behalf.

2. Data We Collect

Depending on your role within the platform, we may collect and process the following personal data:

• Account data: full name, email address, assigned role (Trainee, Instructor, HR Manager, Administrator), and company affiliation.
• Authentication data: login credentials (stored in hashed form), session tokens, and login history.
• OJT training data: task records, progress evaluations, digital signatures, instructor assessments, and qualification statuses.
• Company branding assets: organization logos uploaded for the purpose of report personalization (see Section 6).
• System and security logs: IP addresses, access timestamps, and security events for audit and platform integrity purposes.
• Usage data: anonymized analytics and performance metrics used to improve the platform.

3. How We Use Your Data

Personal data is processed for the following purposes:

• Providing and operating the Aviation OJT Trace service.
• User authentication, role management, and access control.
• Tracking and managing OJT progress, tasks, and qualifications.
• Generating training reports and certificates personalized with your organization's branding.
• Ensuring platform security, detecting fraud, and maintaining audit trails.
• Improving platform performance through anonymized usage analytics.
• Complying with legal and regulatory obligations applicable to aviation training records.

4. Legal Basis for Processing

We process personal data under the following legal bases as defined by GDPR Article 6:

• Contractual necessity (Art. 6(1)(b)): processing required to deliver the Service as agreed.
• Legitimate interest (Art. 6(1)(f)): platform security, fraud prevention, and service improvement.
• Legal obligation (Art. 6(1)(c)): compliance with applicable aviation regulations and data retention requirements.
• Consent (Art. 6(1)(a)): where explicitly requested, such as for non-essential cookies or analytics.

5. Data Sharing

We do not sell personal data. Data may be shared only in the following limited circumstances:

• Within your organization: data is accessible to authorized users (Instructors, HR Managers, Administrators) within your company's workspace, as necessary for OJT management.
• Service providers: trusted third-party providers supporting platform infrastructure (e.g., hosting, database services), bound by data processing agreements.
• Regulatory authorities: when legally required by applicable aviation regulations or law enforcement.
• Between companies: data is strictly isolated per tenant — no data is shared between different subscribing organizations.

6. Company Logos and Branding Assets

Logos and trademarks uploaded by your organization remain the exclusive property of that organization. Aviation OJT Trace does not claim any rights over uploaded logos. They are used solely to identify your organization within the platform and to personalize reports and documents generated on your behalf. Logos are not shared with other organizations, used for marketing purposes, or displayed outside your organization's own workspace and reports.

7. Data Retention

Personal data is retained for as long as necessary to provide the Service or as required by applicable law, including aviation regulatory record-keeping obligations. Upon termination of a subscription, organizational data will be retained for a limited grace period before being permanently and securely deleted. Users may request earlier deletion subject to legal retention requirements.

8. Data Security

We implement appropriate technical and organizational measures to protect personal data against unauthorized access, alteration, disclosure, or destruction. These include encrypted data transmission (TLS), hashed password storage, role-based access controls, and regular security monitoring. In the event of a data breach, we will notify affected organizations and relevant supervisory authorities as required by GDPR.

9. International Data Transfers

Backup copies of platform data are stored on servers located in the United States, operated by DigitalOcean LLC. This transfer is carried out under appropriate safeguards in compliance with GDPR Chapter V, specifically:

• Standard Contractual Clauses (SCCs) — Commission Implementing Decision (EU) 2021/914 of 4 June 2021, incorporated by reference into DigitalOcean's Data Processing Agreement (DPA), which is automatically accepted upon use of their services.
• EU-U.S. Data Privacy Framework (DPF) — DigitalOcean LLC is certified under the EU-U.S. DPF as set forth by the U.S. Department of Commerce, providing an additional adequacy safeguard for transatlantic data transfers.

All other personal data processed by the platform remains within the European Economic Area (EEA). No personal data is transferred to any other third country without equivalent safeguards in place.

10. Your Rights

Under GDPR, you have the following rights regarding your personal data:

• Right to access (Art. 15): request a copy of the data we hold about you.
• Right to rectification (Art. 16): request correction of inaccurate or incomplete data.
• Right to erasure (Art. 17): request deletion of your data ("right to be forgotten"), subject to legal retention obligations.
• Right to data portability (Art. 20): receive your data in a structured, machine-readable format.
• Right to restrict processing (Art. 18): request that we limit how we process your data.
• Right to object (Art. 21): object to processing based on legitimate interest.
• Right to withdraw consent (Art. 7(3)): withdraw consent at any time where processing is consent-based.

To exercise your rights, please contact your organization's administrator or reach us directly via the Contact us page. We will respond within 30 days as required by GDPR.

11. Cookies

We use strictly necessary cookies to operate the platform (e.g., session management). Where non-essential cookies are used (e.g., analytics), we will request your consent. You can manage cookie preferences through your browser settings at any time.

12. Changes to This Policy

We may update this Privacy Policy periodically. When we do, we will revise the "Last updated" date above and, where appropriate, notify Company Administrators. Continued use of the Service constitutes acceptance of the updated policy.

13. Contact

For any questions or requests regarding this Privacy Policy, please contact us via the Contact us page.

---

This document is provided for general informational purposes and does not constitute legal advice. We recommend that your organization's legal department or advisor reviews this Policy before formal adoption.

Informativa sulla Privacy

Ultimo aggiornamento: 04 April 2026

La presente Informativa sulla Privacy spiega come Aviation OJT Trace raccoglie, utilizza, conserva e protegge i tuoi dati personali durante l'utilizzo della piattaforma. Ci impegniamo a rispettare il Regolamento Generale sulla Protezione dei Dati (GDPR) e le altre leggi internazionali applicabili in materia di privacy.

1. Chi Siamo

Aviation OJT Trace è una piattaforma SaaS multi-tenant progettata per la gestione dell'On-the-Job Training (OJT) nel settore aeronautico. La piattaforma serve più organizzazioni ("Aziende"), ognuna operante nel proprio spazio di lavoro isolato. Ai fini del GDPR, il tuo datore di lavoro o l'organizzazione abbonata agisce in qualità di Titolare del Trattamento, mentre Aviation OJT Trace agisce in qualità di Responsabile del Trattamento per loro conto.

2. Dati che Raccogliamo

A seconda del ruolo assegnato sulla piattaforma, potremmo raccogliere e trattare i seguenti dati personali:

• Dati account: nome completo, indirizzo email, ruolo assegnato (Tirocinante, Istruttore, Responsabile HR, Amministratore) e azienda di appartenenza.
• Dati di autenticazione: credenziali di accesso (conservate in forma hashata), token di sessione e cronologia degli accessi.
• Dati formativi OJT: registri delle attività, valutazioni dei progressi, firme digitali, valutazioni degli istruttori e stati delle qualifiche.
• Loghi aziendali: loghi dell'organizzazione caricati per la personalizzazione dei report (vedi Sezione 6).
• Log di sistema e sicurezza: indirizzi IP, timestamp di accesso ed eventi di sicurezza per finalità di audit e integrità della piattaforma.
• Dati di utilizzo: analytics anonimi e metriche di performance per il miglioramento della piattaforma.

3. Come Utilizziamo i Tuoi Dati

I dati personali vengono trattati per le seguenti finalità:

• Erogazione e gestione del servizio Aviation OJT Trace.
• Autenticazione degli utenti, gestione dei ruoli e controllo degli accessi.
• Tracciamento e gestione dei progressi OJT, delle attività e delle qualifiche.
• Generazione di report e attestati formativi personalizzati con il branding della propria organizzazione.
• Garanzia della sicurezza della piattaforma, rilevamento di frodi e mantenimento delle tracce di audit.
• Miglioramento delle prestazioni della piattaforma tramite analytics anonimi.
• Conformità con gli obblighi legali e normativi applicabili ai registri di formazione aeronautica.

4. Base Giuridica del Trattamento

Trattiamo i dati personali sulla base delle seguenti basi giuridiche ai sensi dell'Art. 6 del GDPR:

• Necessità contrattuale (Art. 6(1)(b)): trattamento necessario per erogare il Servizio come concordato.
• Legittimo interesse (Art. 6(1)(f)): sicurezza della piattaforma, prevenzione delle frodi e miglioramento del servizio.
• Obbligo legale (Art. 6(1)(c)): conformità alle normative aeronautiche applicabili e ai requisiti di conservazione dei dati.
• Consenso (Art. 6(1)(a)): ove espressamente richiesto, ad esempio per cookie non essenziali o analytics.

5. Condivisione dei Dati

Non vendiamo dati personali. I dati possono essere condivisi solo nelle seguenti circostanze limitate:

• All'interno della tua organizzazione: i dati sono accessibili agli utenti autorizzati (Istruttori, Responsabili HR, Amministratori) all'interno dello spazio di lavoro aziendale, nella misura necessaria per la gestione dell'OJT.
• Fornitori di servizi: provider terzi di fiducia che supportano l'infrastruttura della piattaforma (es. hosting, database), vincolati da accordi di trattamento dei dati.
• Autorità di regolamentazione: quando richiesto dalla normativa aeronautica applicabile o dalle autorità competenti.
• Tra aziende: i dati sono strettamente isolati per tenant — nessun dato viene condiviso tra organizzazioni abbonate diverse.

6. Loghi Aziendali e Asset di Branding

I loghi e i marchi caricati dalla tua organizzazione rimangono di esclusiva proprietà di tale organizzazione. Aviation OJT Trace non vanta alcun diritto sui loghi caricati. Vengono utilizzati esclusivamente per identificare l'organizzazione all'interno della piattaforma e per personalizzare i report e i documenti generati per suo conto. I loghi non vengono condivisi con altre organizzazioni, utilizzati a fini di marketing, né visualizzati al di fuori dello spazio di lavoro e dei report della propria organizzazione.

7. Conservazione dei Dati

I dati personali vengono conservati per il tempo necessario all'erogazione del Servizio o come richiesto dalla legge applicabile, inclusi gli obblighi di tenuta dei registri formativi aeronautici. Al termine di un abbonamento, i dati organizzativi saranno conservati per un periodo di grazia limitato prima di essere eliminati in modo permanente e sicuro. Gli utenti possono richiedere una cancellazione anticipata, nel rispetto degli obblighi legali di conservazione.

8. Sicurezza dei Dati

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, alterazioni, divulgazioni o distruzioni. Queste includono la trasmissione dati cifrata (TLS), la conservazione delle password in forma hashata, controlli di accesso basati sui ruoli e monitoraggio continuo della sicurezza. In caso di violazione dei dati, notificheremo le organizzazioni interessate e le autorità di controllo competenti come previsto dal GDPR.

9. Trasferimenti Internazionali di Dati

Le copie di backup dei dati della piattaforma sono conservate su server situati negli Stati Uniti, gestiti da DigitalOcean LLC. Tale trasferimento avviene nel rispetto delle garanzie adeguate previste dal Capitolo V del GDPR, in particolare:

• Clausole Contrattuali Standard (SCC) — Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021, incorporate per riferimento nel Data Processing Agreement (DPA) di DigitalOcean, accettato automaticamente all'atto dell'utilizzo dei loro servizi.
• EU-U.S. Data Privacy Framework (DPF) — DigitalOcean LLC è certificata ai sensi dell'EU-U.S. DPF, come stabilito dal Dipartimento del Commercio degli Stati Uniti, offrendo un'ulteriore garanzia di adeguatezza per i trasferimenti transatlantici di dati.

Tutti gli altri dati personali trattati dalla piattaforma rimangono all'interno dello Spazio Economico Europeo (SEE). Nessun dato personale viene trasferito in altri paesi terzi senza adeguate garanzie.

10. I Tuoi Diritti

Ai sensi del GDPR, hai i seguenti diritti riguardo ai tuoi dati personali:

• Diritto di accesso (Art. 15): richiedere una copia dei dati in nostro possesso che ti riguardano.
• Diritto di rettifica (Art. 16): richiedere la correzione di dati inesatti o incompleti.
• Diritto alla cancellazione (Art. 17): richiedere la cancellazione dei tuoi dati ("diritto all'oblio"), nel rispetto degli obblighi legali di conservazione.
• Diritto alla portabilità dei dati (Art. 20): ricevere i tuoi dati in un formato strutturato e leggibile da macchina.
• Diritto di limitazione del trattamento (Art. 18): richiedere che limitiamo il trattamento dei tuoi dati.
• Diritto di opposizione (Art. 21): opporti al trattamento basato sul legittimo interesse.
• Diritto di revocare il consenso (Art. 7(3)): revocare il consenso in qualsiasi momento quando il trattamento è basato su di esso.

Per esercitare i tuoi diritti, contatta l'amministratore della tua organizzazione o scrivici direttamente tramite la pagina Contattaci. Risponderemo entro 30 giorni come richiesto dal GDPR.

11. Cookie

Utilizziamo cookie strettamente necessari per il funzionamento della piattaforma (es. gestione delle sessioni). Dove vengono utilizzati cookie non essenziali (es. analytics), richiederemo il tuo consenso. Puoi gestire le preferenze sui cookie tramite le impostazioni del tuo browser in qualsiasi momento.

12. Modifiche alla Presente Informativa

Potremmo aggiornare periodicamente la presente Informativa sulla Privacy. In tal caso, aggiorneremo la data di "Ultimo aggiornamento" in cima a questa pagina e, ove appropriato, notificheremo gli Amministratori Aziendali. L'uso continuato del Servizio costituisce accettazione dell'informativa aggiornata.

13. Contatti

Per qualsiasi domanda o richiesta relativa alla presente Informativa sulla Privacy, contattaci tramite la pagina Contattaci.

---

Il presente documento è fornito a scopo meramente informativo e non costituisce consulenza legale. Si raccomanda che il dipartimento legale o il consulente della propria organizzazione esamini la presente Informativa prima della sua adozione formale.