IT | EN

Informativa sul trattamento dei dati personali

Versione: 1.2  ·  In vigore dal: 5 luglio 2026  ·  Ultimo aggiornamento: 5 luglio 2026
Stampa / Salva PDF Versioni precedenti Cookie Policy Termini di Servizio

La presente Informativa e' resa ai sensi del Regolamento (UE) 2016/679 (di seguito «GDPR»), del D.lgs 196/2003 e successive modifiche (Codice Privacy italiano) e della Direttiva 2002/58/CE («ePrivacy»), e descrive le modalita' di trattamento dei dati personali degli utenti del servizio NEXO IP.

Indice

1. Titolare del trattamento

Il Titolare del trattamento e' Nexo Labs S.r.l.s..

DenominazioneNexo Labs S.r.l.s.
Sede legaleVia San Gabriele 4/A, 63066 Grottammare (AP), Italia
P.IVA / C.F.02612080446
REAAP - 317280
Emailprivacy@nexoip.it
PECamministrazione@pec.nexolabs.it

2. Responsabile della protezione dati (DPO)

Ai sensi dell'Art. 37 GDPR, il Titolare ha valutato la nomina di un Responsabile della protezione dei dati e ha ritenuto che tale nomina non sia obbligatoria, in quanto le attivita' principali non comportano un monitoraggio sistematico su larga scala degli interessati ne' un trattamento su larga scala di categorie particolari di dati. Le richieste in materia di protezione dei dati personali possono comunque essere indirizzate a privacy@nexoip.it.

3. Categorie di dati trattati

CategoriaEsempi
Dati account Username, email, hash password, ruolo, data creazione, indirizzo IP di registrazione e login
Dati di contatto destinatari notifiche Nome, email, numero di telefono dei contatti configurati dall'utente per ricevere notifiche di allarme. Cifrati a riposo con AES-128 (Fernet).
Eventi SIA-IP Codice evento, data/ora, partizione, zona, descrizione, indirizzo IP della centrale. Non identificano direttamente persone fisiche.
Log notifiche Tracciamento invii (timestamp, canale, esito) per dimostrabilita' del servizio.
Log tecnici e di sicurezza IP, user-agent, timestamp accessi, tentativi falliti, ban IP.
Movimenti credito Importi e saldi del credito prepagato registrati a DB. Nessun dato carta in NEXO IP: le ricariche sono gestite manualmente dall'amministratore (integrazione Stripe checkout predisposta ma non attiva).
Dati di fatturazione Ragione sociale o nome e cognome, indirizzo, Partita IVA o Codice Fiscale, PEC o codice destinatario SDI, paese. Conferiti volontariamente dall'utente al momento della richiesta di ricarica, ai fini dell'emissione dei documenti fiscali e contabili.
Consensi Versione policy accettata, timestamp, IP, user-agent (Art. 7 GDPR — dimostrabilita').
Push subscriptions / credenziali WebAuthn Endpoint push (browser), credenziali biometric/passkey, ove l'utente le abbia attivate.

4. Finalita' e base giuridica

Finalita'Base giuridicaCategorie
Fornitura del servizio di ricezione SIA-IP/API e dispatch notifiche multicanale (SMS, WhatsApp, voce, email, Telegram, push) Esecuzione del contratto (Art. 6.1.b GDPR) Account, contatti, eventi, log notifiche
Autenticazione, gestione sessione, prevenzione frodi/abusi Esecuzione del contratto + legittimo interesse (Art. 6.1.f) per la sicurezza Account, log tecnici
Gestione credito prepagato e ricariche (admin) Esecuzione del contratto (Art. 6.1.b) Movimenti credito
Adempimenti contabili, fiscali e amministrativi (emissione fatture/ricevute) Obbligo legale (Art. 6.1.c GDPR) Movimenti credito, dati di fatturazione
Difesa in giudizio e gestione contenziosi Legittimo interesse (Art. 6.1.f) Tutte le categorie pertinenti
Miglioramento del servizio (analisi tecnica anonima/aggregata) Legittimo interesse (Art. 6.1.f) Log tecnici aggregati

Il servizio non effettua attivita' di marketing diretto, profilazione o decisioni automatizzate ai sensi dell'Art. 22 GDPR.

5. Sub-responsabili del trattamento (Art. 28 GDPR)

Per fornire il servizio ci avvaliamo dei seguenti fornitori, nominati Responsabili del Trattamento ai sensi dell'Art. 28 GDPR:

Sub-responsabileServizioDati trattatiSedeGaranzie
Telnyx LLC Chiamate vocali (TeXML) Numero telefono destinatario, contenuto notifica (testo allarme) Stati Uniti (region EU opzionale) Clausole Contrattuali Standard UE (SCC 2021/914) + DPA fornitore
BulkGate s.r.o. Invio SMS e WhatsApp Numero telefono destinatario, contenuto notifica Unione Europea (Rep. Ceca) Titolare UE (GDPR) + DPA fornitore
Telegram FZ-LLC (Bot API) Notifiche Telegram Chat ID destinatario, contenuto notifica Vari (cloud) ToS fornitore
Stripe Inc. / Stripe Payments Europe Ltd. Pagamenti (predisposto, non attivo) — (nessun trattamento attivo in produzione) USA / Irlanda (UE) SCC UE + DPA Stripe + PCI-DSS
Provider SMTP (authsmtp.securemail.pro) Invio email transazionali (OTP, notifiche, allarmi) Email destinatario, contenuto messaggio Unione Europea Connessioni TLS, DPA con il fornitore
Hosting infrastruttura (Hetzner Online GmbH) Hosting server, archiviazione database Tutti i dati applicativi Unione Europea (Germania) DPA ex art. 28 GDPR, certificazioni ISO 27001 / BSI C5, crittografia in transito e a riposo
Web Push (VAPID self-hosted) Notifiche push browser Endpoint browser cifrato, payload notifica Endpoint gestiti dal browser dell'utente (Google FCM / Mozilla / Apple) Endpoint cifrati con chiavi VAPID generate localmente

L'elenco aggiornato dei sub-responsabili e' disponibile su richiesta a privacy@nexoip.it. Eventuali modifiche sostanziali saranno comunicate all'interessato con preavviso ragionevole.

6. Conservazione dei dati

CategoriaPeriodo di conservazione
Dati account (attivo)Per tutta la durata del rapporto contrattuale
Dati account dopo cancellazioneAnonimizzazione immediata su richiesta dell'interessato
Contatti destinatari notificheModificabili e cancellabili in qualsiasi momento dall'utente
Eventi SIA-IP (storico allarmi)7 giorni (cancellazione automatica)
Log notifiche7 giorni (cancellazione automatica)
Log tecnici di sicurezza90 giorni
Audit log GDPR (dimostrabilita' Art. 5(2))5 anni dalla registrazione
Richieste DSAR completate3 anni dalla chiusura
Documenti fiscali / fatture10 anni (obbligo di legge, Art. 2220 c.c.)
Push subscriptions90 giorni dall'ultima attivita'
Registrazioni pendenti (OTP non verificato)30 giorni

7. Trasferimenti extra-UE

I dati applicativi sono ospitati su infrastruttura situata nell'Unione Europea. Trasferimenti di dati verso paesi terzi avvengono unicamente nei confronti di:

I trasferimenti verso paesi terzi avvengono esclusivamente in presenza di adeguate garanzie ai sensi del Capo V del GDPR. I DPA dei sub-responsabili sono pubblicamente consultabili sui rispettivi siti e disponibili su richiesta.

8. Diritti dell'interessato

In qualita' di interessato, l'utente puo' esercitare in qualsiasi momento i seguenti diritti (Artt. 15-22 GDPR):

Esercizio self-service: gli utenti registrati possono esercitare direttamente i diritti di accesso (export dati), rettifica e cancellazione dalla Privacy Dashboard presente nella propria area riservata, senza necessita' di intermediazione.

Per richieste piu' complesse (portabilita', limitazione, opposizione) e' possibile contattare privacy@nexoip.it. Risponderemo entro 30 giorni (prorogabili a 60 in casi complessi, Art. 12 GDPR).

9. Cookie e tecnologie simili

Il servizio utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento (sessione autenticata, protezione CSRF, preferenza lingua). Tali cookie sono esenti dall'obbligo di consenso preventivo ai sensi dell'Art. 122 D.lgs 196/2003 e dell'Art. 5.3 della Direttiva ePrivacy.

Per il dettaglio completo si rimanda alla Cookie Policy.

10. Procedura Data Breach

In caso di violazione di dati personali (data breach), il Titolare adotta la seguente procedura:

  1. Identificazione e contenimento dell'incidente, isolamento dei sistemi compromessi.
  2. Valutazione del rischio per i diritti e le liberta' degli interessati.
  3. Notifica al Garante entro 72 ore dalla scoperta, ove il rischio non sia improbabile (Art. 33 GDPR).
  4. Comunicazione agli interessati senza ingiustificato ritardo se il rischio e' elevato (Art. 34 GDPR).
  5. Documentazione interna di tutte le violazioni (registro breach), indipendentemente dalla notifica.
  6. Analisi post-incidente e remediation.

11. Valutazione d'impatto (DPIA)

Il Titolare ha effettuato una valutazione d'impatto preliminare ai sensi dell'Art. 35 GDPR, classificando il trattamento come a rischio basso/medio: non sono trattate categorie particolari di dati (Art. 9), non si effettua monitoraggio sistematico su larga scala ne' decisioni automatizzate. Una sintesi della DPIA e' disponibile su richiesta motivata a privacy@nexoip.it.

12. Registro dei trattamenti (Art. 30 GDPR)

Il Titolare tiene un Registro dei Trattamenti ai sensi dell'Art. 30 GDPR, contenente per ogni attivita': finalita', categorie di interessati e di dati, destinatari, termini di conservazione, misure tecniche. Il Registro e' disponibile per consultazione da parte dell'Autorita' di controllo e, su richiesta motivata, per gli interessati.

13. Misure di sicurezza (Art. 32 GDPR)

Il Titolare adotta misure tecniche e organizzative adeguate, tra cui:

14. Modifiche e storico versioni

La presente informativa puo' essere aggiornata per riflettere variazioni normative, organizzative o tecnologiche. Le modifiche sostanziali saranno notificate agli utenti registrati e richiederanno una nuova accettazione esplicita al successivo accesso.

Le versioni precedenti sono consultabili in /legal/versions/.

15. Contatti

Per qualsiasi questione relativa al trattamento dei dati personali:

L'utente, accettando la presente informativa, dichiara di averla letta, compresa e di prestare consenso al trattamento per le finalita' descritte nei limiti delle basi giuridiche indicate.