La presente Informativa e' resa ai sensi del Regolamento (UE) 2016/679 (di seguito «GDPR»), del D.lgs 196/2003 e successive modifiche (Codice Privacy italiano) e della Direttiva 2002/58/CE («ePrivacy»), e descrive le modalita' di trattamento dei dati personali degli utenti del servizio NEXO IP.
Il Titolare del trattamento e' Nexo Labs S.r.l.s..
| Denominazione | Nexo Labs S.r.l.s. |
|---|---|
| Sede legale | Via San Gabriele 4/A, 63066 Grottammare (AP), Italia |
| P.IVA / C.F. | 02612080446 |
| REA | AP - 317280 |
| privacy@nexoip.it | |
| PEC | amministrazione@pec.nexolabs.it |
Ai sensi dell'Art. 37 GDPR, il Titolare ha valutato la nomina di un Responsabile della protezione dei dati e ha ritenuto che tale nomina non sia obbligatoria, in quanto le attivita' principali non comportano un monitoraggio sistematico su larga scala degli interessati ne' un trattamento su larga scala di categorie particolari di dati. Le richieste in materia di protezione dei dati personali possono comunque essere indirizzate a privacy@nexoip.it.
| Categoria | Esempi |
|---|---|
| Dati account | Username, email, hash password, ruolo, data creazione, indirizzo IP di registrazione e login |
| Dati di contatto destinatari notifiche | Nome, email, numero di telefono dei contatti configurati dall'utente per ricevere notifiche di allarme. Cifrati a riposo con AES-128 (Fernet). |
| Eventi SIA-IP | Codice evento, data/ora, partizione, zona, descrizione, indirizzo IP della centrale. Non identificano direttamente persone fisiche. |
| Log notifiche | Tracciamento invii (timestamp, canale, esito) per dimostrabilita' del servizio. |
| Log tecnici e di sicurezza | IP, user-agent, timestamp accessi, tentativi falliti, ban IP. |
| Movimenti credito | Importi e saldi del credito prepagato registrati a DB. Nessun dato carta in NEXO IP: le ricariche sono gestite manualmente dall'amministratore (integrazione Stripe checkout predisposta ma non attiva). |
| Dati di fatturazione | Ragione sociale o nome e cognome, indirizzo, Partita IVA o Codice Fiscale, PEC o codice destinatario SDI, paese. Conferiti volontariamente dall'utente al momento della richiesta di ricarica, ai fini dell'emissione dei documenti fiscali e contabili. |
| Consensi | Versione policy accettata, timestamp, IP, user-agent (Art. 7 GDPR — dimostrabilita'). |
| Push subscriptions / credenziali WebAuthn | Endpoint push (browser), credenziali biometric/passkey, ove l'utente le abbia attivate. |
| Finalita' | Base giuridica | Categorie |
|---|---|---|
| Fornitura del servizio di ricezione SIA-IP/API e dispatch notifiche multicanale (SMS, WhatsApp, voce, email, Telegram, push) | Esecuzione del contratto (Art. 6.1.b GDPR) | Account, contatti, eventi, log notifiche |
| Autenticazione, gestione sessione, prevenzione frodi/abusi | Esecuzione del contratto + legittimo interesse (Art. 6.1.f) per la sicurezza | Account, log tecnici |
| Gestione credito prepagato e ricariche (admin) | Esecuzione del contratto (Art. 6.1.b) | Movimenti credito |
| Adempimenti contabili, fiscali e amministrativi (emissione fatture/ricevute) | Obbligo legale (Art. 6.1.c GDPR) | Movimenti credito, dati di fatturazione |
| Difesa in giudizio e gestione contenziosi | Legittimo interesse (Art. 6.1.f) | Tutte le categorie pertinenti |
| Miglioramento del servizio (analisi tecnica anonima/aggregata) | Legittimo interesse (Art. 6.1.f) | Log tecnici aggregati |
Il servizio non effettua attivita' di marketing diretto, profilazione o decisioni automatizzate ai sensi dell'Art. 22 GDPR.
Per fornire il servizio ci avvaliamo dei seguenti fornitori, nominati Responsabili del Trattamento ai sensi dell'Art. 28 GDPR:
| Sub-responsabile | Servizio | Dati trattati | Sede | Garanzie |
|---|---|---|---|---|
| Telnyx LLC | Chiamate vocali (TeXML) | Numero telefono destinatario, contenuto notifica (testo allarme) | Stati Uniti (region EU opzionale) | Clausole Contrattuali Standard UE (SCC 2021/914) + DPA fornitore |
| BulkGate s.r.o. | Invio SMS e WhatsApp | Numero telefono destinatario, contenuto notifica | Unione Europea (Rep. Ceca) | Titolare UE (GDPR) + DPA fornitore |
| Telegram FZ-LLC (Bot API) | Notifiche Telegram | Chat ID destinatario, contenuto notifica | Vari (cloud) | ToS fornitore |
| Stripe Inc. / Stripe Payments Europe Ltd. | Pagamenti (predisposto, non attivo) | — (nessun trattamento attivo in produzione) | USA / Irlanda (UE) | SCC UE + DPA Stripe + PCI-DSS |
| Provider SMTP (authsmtp.securemail.pro) | Invio email transazionali (OTP, notifiche, allarmi) | Email destinatario, contenuto messaggio | Unione Europea | Connessioni TLS, DPA con il fornitore |
| Hosting infrastruttura (Hetzner Online GmbH) | Hosting server, archiviazione database | Tutti i dati applicativi | Unione Europea (Germania) | DPA ex art. 28 GDPR, certificazioni ISO 27001 / BSI C5, crittografia in transito e a riposo |
| Web Push (VAPID self-hosted) | Notifiche push browser | Endpoint browser cifrato, payload notifica | Endpoint gestiti dal browser dell'utente (Google FCM / Mozilla / Apple) | Endpoint cifrati con chiavi VAPID generate localmente |
L'elenco aggiornato dei sub-responsabili e' disponibile su richiesta a privacy@nexoip.it. Eventuali modifiche sostanziali saranno comunicate all'interessato con preavviso ragionevole.
| Categoria | Periodo di conservazione |
|---|---|
| Dati account (attivo) | Per tutta la durata del rapporto contrattuale |
| Dati account dopo cancellazione | Anonimizzazione immediata su richiesta dell'interessato |
| Contatti destinatari notifiche | Modificabili e cancellabili in qualsiasi momento dall'utente |
| Eventi SIA-IP (storico allarmi) | 7 giorni (cancellazione automatica) |
| Log notifiche | 7 giorni (cancellazione automatica) |
| Log tecnici di sicurezza | 90 giorni |
| Audit log GDPR (dimostrabilita' Art. 5(2)) | 5 anni dalla registrazione |
| Richieste DSAR completate | 3 anni dalla chiusura |
| Documenti fiscali / fatture | 10 anni (obbligo di legge, Art. 2220 c.c.) |
| Push subscriptions | 90 giorni dall'ultima attivita' |
| Registrazioni pendenti (OTP non verificato) | 30 giorni |
I dati applicativi sono ospitati su infrastruttura situata nell'Unione Europea. Trasferimenti di dati verso paesi terzi avvengono unicamente nei confronti di:
I trasferimenti verso paesi terzi avvengono esclusivamente in presenza di adeguate garanzie ai sensi del Capo V del GDPR. I DPA dei sub-responsabili sono pubblicamente consultabili sui rispettivi siti e disponibili su richiesta.
In qualita' di interessato, l'utente puo' esercitare in qualsiasi momento i seguenti diritti (Artt. 15-22 GDPR):
Esercizio self-service: gli utenti registrati possono esercitare direttamente i diritti di accesso (export dati), rettifica e cancellazione dalla Privacy Dashboard presente nella propria area riservata, senza necessita' di intermediazione.
Per richieste piu' complesse (portabilita', limitazione, opposizione) e' possibile contattare privacy@nexoip.it. Risponderemo entro 30 giorni (prorogabili a 60 in casi complessi, Art. 12 GDPR).
Il servizio utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento (sessione autenticata, protezione CSRF, preferenza lingua). Tali cookie sono esenti dall'obbligo di consenso preventivo ai sensi dell'Art. 122 D.lgs 196/2003 e dell'Art. 5.3 della Direttiva ePrivacy.
Per il dettaglio completo si rimanda alla Cookie Policy.
In caso di violazione di dati personali (data breach), il Titolare adotta la seguente procedura:
Il Titolare ha effettuato una valutazione d'impatto preliminare ai sensi dell'Art. 35 GDPR, classificando il trattamento come a rischio basso/medio: non sono trattate categorie particolari di dati (Art. 9), non si effettua monitoraggio sistematico su larga scala ne' decisioni automatizzate. Una sintesi della DPIA e' disponibile su richiesta motivata a privacy@nexoip.it.
Il Titolare tiene un Registro dei Trattamenti ai sensi dell'Art. 30 GDPR, contenente per ogni attivita': finalita', categorie di interessati e di dati, destinatari, termini di conservazione, misure tecniche. Il Registro e' disponibile per consultazione da parte dell'Autorita' di controllo e, su richiesta motivata, per gli interessati.
Il Titolare adotta misure tecniche e organizzative adeguate, tra cui:
La presente informativa puo' essere aggiornata per riflettere variazioni normative, organizzative o tecnologiche. Le modifiche sostanziali saranno notificate agli utenti registrati e richiederanno una nuova accettazione esplicita al successivo accesso.
Le versioni precedenti sono consultabili in /legal/versions/.
Per qualsiasi questione relativa al trattamento dei dati personali:
L'utente, accettando la presente informativa, dichiara di averla letta, compresa e di prestare consenso al trattamento per le finalita' descritte nei limiti delle basi giuridiche indicate.