La presente Informativa e' resa ai sensi del Regolamento (UE) 2016/679 (di seguito «GDPR»), del D.lgs 196/2003 e successive modifiche (Codice Privacy italiano) e della Direttiva 2002/58/CE («ePrivacy»), e descrive le modalita' di trattamento dei dati personali degli utenti del servizio NEXO IP.
Il Titolare del trattamento e' [NEXO IP — RAGIONE SOCIALE PLACEHOLDER].
| Denominazione | [PLACEHOLDER] |
|---|---|
| Sede legale | [INDIRIZZO PLACEHOLDER] |
| P.IVA / C.F. | [PLACEHOLDER] |
| privacy@nexoip.it | |
| PEC | [PEC PLACEHOLDER] |
Ai sensi dell'Art. 37 GDPR, il Titolare ha valutato la nomina di un Responsabile della protezione dei dati. [Selezionare una delle opzioni — PLACEHOLDER]:
| Categoria | Esempi |
|---|---|
| Dati account | Username, email, hash password, ruolo, data creazione, indirizzo IP di registrazione e login |
| Dati di contatto destinatari notifiche | Nome, email, numero di telefono dei contatti configurati dall'utente per ricevere notifiche di allarme. Cifrati a riposo con AES-128 (Fernet). |
| Eventi SIA-IP | Codice evento, data/ora, partizione, zona, descrizione, indirizzo IP della centrale. Non identificano direttamente persone fisiche. |
| Log notifiche | Tracciamento invii (timestamp, canale, esito) per dimostrabilita' del servizio. |
| Log tecnici e di sicurezza | IP, user-agent, timestamp accessi, tentativi falliti, ban IP. |
| Dati di pagamento | Importo, metodo, esito. I dati della carta NON transitano dai nostri server: sono raccolti direttamente da Stripe. |
| Consensi | Versione policy accettata, timestamp, IP, user-agent (Art. 7 GDPR — dimostrabilita'). |
| Push subscriptions / credenziali WebAuthn | Endpoint push (browser), credenziali biometric/passkey, ove l'utente le abbia attivate. |
| Finalita' | Base giuridica | Categorie |
|---|---|---|
| Fornitura del servizio di ricezione SIA-IP e dispatch notifiche multicanale (SMS, WhatsApp, voce, email, push) | Esecuzione del contratto (Art. 6.1.b GDPR) | Account, contatti, eventi, log notifiche |
| Autenticazione, gestione sessione, prevenzione frodi/abusi | Esecuzione del contratto + legittimo interesse (Art. 6.1.f) per la sicurezza | Account, log tecnici |
| Gestione pagamenti e ricariche credito | Esecuzione del contratto (Art. 6.1.b) | Dati pagamento |
| Adempimenti contabili, fiscali e amministrativi | Obbligo legale (Art. 6.1.c GDPR) | Dati pagamento, dati fatturazione |
| Difesa in giudizio e gestione contenziosi | Legittimo interesse (Art. 6.1.f) | Tutte le categorie pertinenti |
| Miglioramento del servizio (analisi tecnica anonima/aggregata) | Legittimo interesse (Art. 6.1.f) | Log tecnici aggregati |
Il servizio non effettua attivita' di marketing diretto, profilazione o decisioni automatizzate ai sensi dell'Art. 22 GDPR.
Per fornire il servizio ci avvaliamo dei seguenti fornitori, nominati Responsabili del Trattamento ai sensi dell'Art. 28 GDPR:
| Sub-responsabile | Servizio | Dati trattati | Sede | Garanzie |
|---|---|---|---|---|
| Twilio Inc. | Invio SMS, WhatsApp, chiamate vocali | Numero telefono destinatario, contenuto notifica (testo allarme) | Stati Uniti (server EU disponibili) | Clausole Contrattuali Standard UE (SCC 2021/914) + DPA Twilio |
| Stripe Inc. / Stripe Payments Europe Ltd. | Elaborazione pagamenti, fatturazione | Email cliente, ID transazione, importi (i dati carta NON transitano da noi) | USA / Irlanda (UE) | SCC UE + DPA Stripe + PCI-DSS |
| Provider SMTP (authsmtp.securemail.pro) | Invio email transazionali (OTP, notifiche, allarmi) | Email destinatario, contenuto messaggio | Unione Europea | Connessioni TLS, DPA con il fornitore |
| Hosting infrastruttura | Hosting server, archiviazione database | Tutti i dati applicativi | Unione Europea — [PROVIDER PLACEHOLDER] | DPA con il provider, crittografia in transito e a riposo (disco) |
| Web Push (VAPID self-hosted) | Notifiche push browser | Endpoint browser cifrato, payload notifica | Endpoint gestiti dal browser dell'utente (Google FCM / Mozilla / Apple) | Endpoint cifrati con chiavi VAPID generate localmente |
L'elenco aggiornato dei sub-responsabili e' disponibile su richiesta a privacy@nexoip.it. Eventuali modifiche sostanziali saranno comunicate all'interessato con preavviso ragionevole.
| Categoria | Periodo di conservazione |
|---|---|
| Dati account (attivo) | Per tutta la durata del rapporto contrattuale |
| Dati account dopo cancellazione | Anonimizzazione immediata su richiesta dell'interessato |
| Contatti destinatari notifiche | Modificabili e cancellabili in qualsiasi momento dall'utente |
| Eventi SIA-IP (storico allarmi) | 7 giorni (cancellazione automatica) |
| Log notifiche | 7 giorni (cancellazione automatica) |
| Log tecnici di sicurezza | 90 giorni |
| Audit log GDPR (dimostrabilita' Art. 5(2)) | 5 anni dalla registrazione |
| Richieste DSAR completate | 3 anni dalla chiusura |
| Documenti fiscali / fatture | 10 anni (obbligo di legge, Art. 2220 c.c.) |
| Push subscriptions | 90 giorni dall'ultima attivita' |
| Registrazioni pendenti (OTP non verificato) | 30 giorni |
I dati applicativi sono ospitati su infrastruttura situata nell'Unione Europea. Trasferimenti di dati verso paesi terzi avvengono unicamente nei confronti di:
I DPA dei sub-responsabili sono pubblicamente consultabili sui rispettivi siti e disponibili su richiesta.
In qualita' di interessato, l'utente puo' esercitare in qualsiasi momento i seguenti diritti (Artt. 15-22 GDPR):
Esercizio self-service: gli utenti registrati possono esercitare direttamente i diritti di accesso (export dati), rettifica e cancellazione dalla Privacy Dashboard presente nella propria area riservata, senza necessita' di intermediazione.
Per richieste piu' complesse (portabilita', limitazione, opposizione) e' possibile contattare privacy@nexoip.it. Risponderemo entro 30 giorni (prorogabili a 60 in casi complessi, Art. 12 GDPR).
Il servizio utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento (sessione autenticata, protezione CSRF, preferenza lingua). Tali cookie sono esenti dall'obbligo di consenso preventivo ai sensi dell'Art. 122 D.lgs 196/2003 e dell'Art. 5.3 della Direttiva ePrivacy.
Per il dettaglio completo si rimanda alla Cookie Policy.
In caso di violazione di dati personali (data breach), il Titolare adotta la seguente procedura:
Il Titolare ha effettuato una valutazione d'impatto preliminare ai sensi dell'Art. 35 GDPR, classificando il trattamento come a rischio basso/medio: non sono trattate categorie particolari di dati (Art. 9), non si effettua monitoraggio sistematico su larga scala ne' decisioni automatizzate. Una sintesi della DPIA e' disponibile su richiesta motivata a privacy@nexoip.it.
Il Titolare tiene un Registro dei Trattamenti ai sensi dell'Art. 30 GDPR, contenente per ogni attivita': finalita', categorie di interessati e di dati, destinatari, termini di conservazione, misure tecniche. Il Registro e' disponibile per consultazione da parte dell'Autorita' di controllo e, su richiesta motivata, per gli interessati.
Il Titolare adotta misure tecniche e organizzative adeguate, tra cui:
La presente informativa puo' essere aggiornata per riflettere variazioni normative, organizzative o tecnologiche. Le modifiche sostanziali saranno notificate agli utenti registrati e richiederanno una nuova accettazione esplicita al successivo accesso.
Le versioni precedenti sono consultabili in /legal/versions/.
Per qualsiasi questione relativa al trattamento dei dati personali:
L'utente, accettando la presente informativa, dichiara di averla letta, compresa e di prestare consenso al trattamento per le finalita' descritte nei limiti delle basi giuridiche indicate.