Informativa sulla Privacy
Ultimo aggiornamento: [DATA]
La presente informativa è resa ai sensi del Regolamento (UE) 2016/679 (“GDPR”) e descrive come trattiamo i dati personali nell’ambito del servizio accessibile da https://cbam-xml.vercel.app (“Servizio”).
1. Titolare del trattamento
[RAGIONE SOCIALE], P.IVA/C.F. [PARTITA IVA], sede in [INDIRIZZO COMPLETO].
[Eventuale DPO/Responsabile della protezione dei dati: [NOME/EMAIL], se nominato.]
Contatto per la privacy:
2. Categorie di dati trattati
a) Dati di account e profilo (Utente/Cliente): email, password (in forma cifrata/hash gestita dal provider di autenticazione), ragione sociale, EORI, partita IVA, paese, città, email di contatto, nome e ruolo del firmatario.
b) Dati di abbonamento e pagamento: stato dell’abbonamento, identificativi cliente/abbonamento. I dati di pagamento (carta, indirizzo di fatturazione) sono raccolti e trattati direttamente da Paddle in qualità di Merchant of Record; noi non li riceviamo né conserviamo.
c) Dati inseriti dai Fornitori esteri: dati energetici, di combustibile, produttivi, paese e route di produzione, eventuale tassa carbonio estera e dati sui precursori. Il Fornitore estero accede tramite link a tempo, senza account.
d) Dati tecnici: dati strettamente necessari al funzionamento (cookie di sessione di autenticazione, log tecnici essenziali).
3. Finalità e basi giuridiche
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogazione del Servizio (account, calcolo emissioni, generazione XML, stima costi) | Esecuzione del contratto — art. 6(1)(b) |
| Gestione dell’abbonamento e fatturazione (tramite Paddle) | Esecuzione del contratto / obblighi di legge — art. 6(1)(b)/(c) |
| Sicurezza, prevenzione abusi, log essenziali | Legittimo interesse — art. 6(1)(f) |
| Invio di comunicazioni di servizio | Esecuzione del contratto — art. 6(1)(b) |
| Adempimenti fiscali e contabili | Obbligo di legge — art. 6(1)(c) |
Non svolgiamo profilazione né decisioni automatizzate con effetti giuridici sugli interessati ai sensi dell’art. 22 GDPR.
4. Cifratura e conservazione (retention)
4.1 I dati di emissione del Fornitore, gli XML generati e gli snapshot di costo sono cifrati a riposo (AES-256-GCM).
4.2 Tali dati hanno una retention limitata: vengono cancellati automaticamente dopo 30 giorni o dopo il download, tramite processo schedulato (TTL). Adottiamo un principio di minimizzazione dei dati: conserviamo solo quanto necessario per erogare il link asincrono al Fornitore e fornire l’output all’Utente.
4.3 I dati di account, profilo e abbonamento sono conservati per la durata del rapporto e successivamente per il tempo necessario ad adempiere a obblighi di legge (es. fiscali/contabili).
5. Destinatari e responsabili del trattamento
Per erogare il Servizio ci avvaliamo di fornitori che agiscono come responsabili del trattamento:
| Fornitore | Funzione | Note sul trasferimento |
|---|---|---|
| Supabase | Database, autenticazione, hosting dati | Dati a riposo nell’Unione Europea (Francoforte, Germania) |
| Vercel | Hosting applicazione ed esecuzione delle API | Elaborazione nell’Unione Europea (Francoforte, Germania); fornitore con casa madre negli USA, garanzie SCC ove applicabili |
| Paddle (Paddle.com Market Ltd) | Merchant of Record: pagamenti, fatturazione, IVA | Titolare autonomo per i dati di pagamento secondo la propria informativa |
| Banca Centrale Europea / Frankfurter | Tassi di cambio (dato pubblico) | Solo richiesta di tassi, nessun dato dell’Utente inviato |
| Resend (opzionale, se attivo) | Invio email di avviso tecnico all’amministratore | Solo email amministrativa interna |
L’elenco aggiornato dei sub-responsabili è disponibile su richiesta:
6. Trasferimenti extra-UE
I dati sono conservati a riposo ed elaborati nell’Unione Europea (Supabase e Vercel, Francoforte, Germania). I fornitori infrastrutturali hanno casa madre negli Stati Uniti: per eventuali accessi da parte loro si applicano garanzie adeguate ai sensi degli artt. 44 e seguenti del GDPR (Clausole Contrattuali Standard). L’unico trattamento che può avvenire al di fuori dello Spazio Economico Europeo riguarda i dati inseriti dai Fornitori esteri, che possono trovarsi in paesi terzi quando compilano il modulo tramite il link.
7. Diritti degli interessati
Nei limiti previsti dagli artt. 15–22 GDPR, l’interessato ha diritto di: accesso, rettifica, cancellazione, limitazione, portabilità e opposizione al trattamento, nonché di revocare il consenso ove applicabile.
Le richieste possono essere inviate tramite il pulsante:
L’interessato ha inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o all’autorità di controllo competente. Poiché i dati dei Fornitori esteri sono inseriti per conto e su iniziativa dell’Utente/Cliente, le richieste relative a questi dati possono essere indirizzate anche al Cliente che ha generato la spedizione.
8. Cookie e tecnologie simili
Utilizziamo cookie tecnici e di sessione necessari all’autenticazione e al funzionamento del Servizio (es. sessione Supabase) e i cookie eventualmente impostati da Paddle nel processo di pagamento. Non utilizziamo cookie di profilazione marketing. [Aggiornare con eventuale cookie banner se si introducono strumenti analitici.]
9. Sicurezza
Adottiamo misure tecniche e organizzative adeguate, tra cui cifratura a riposo (AES-256-GCM), controllo degli accessi a livello di riga (RLS), separazione delle chiavi server-side e retention limitata. Nessun sistema è sicuro al 100%; in caso di violazione dei dati agiamo secondo gli obblighi di notifica del GDPR.
10. Modifiche all’informativa
Possiamo aggiornare questa informativa; la versione aggiornata sarà pubblicata su questa pagina con la data di ultima modifica. Per modifiche sostanziali daremo avviso tramite il Servizio o via email.
Documento di bozza. Non costituisce parere legale. Far revisionare da un avvocato/DPO e confermare le regioni di hosting e l’elenco dei sub-responsabili prima della pubblicazione.