Privacy Policy
Informativa ai sensi degli artt. 13-14 del Regolamento (UE) 2016/679 (GDPR)
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali raccolti tramite la piattaforma GAPOFF è:
XION IT Group S.r.l.
Sede legale: Viale Coni Zugna 7, 20144 Milano (MI) — Italia
P.IVA: IT 14208120965 — REA: MI-2766395
Email: privacy@gapoff.it
PEC: xionitgroup@pec.it
Il Titolare è raggiungibile per qualsiasi richiesta relativa al trattamento dei dati personali ai recapiti sopra indicati.
1.1 Referente Privacy
Per qualsiasi questione relativa alla protezione dei dati personali, è possibile contattare il Referente Privacy designato dal Titolare:
Referente Privacy
Email: privacy@gapoff.it
Il Referente Privacy è il punto di contatto per gli Interessati che intendano esercitare i propri diritti ai sensi degli artt. 15-22 del GDPR, nonché per eventuali comunicazioni dell’Autorità Garante.
2. Dati Raccolti
Nell’ambito dell’erogazione del Servizio GAPOFF, il Titolare raccoglie e tratta le seguenti categorie di dati personali:
2.1 Dati di registrazione e account
- Nome, cognome, indirizzo email, numero di telefono (opzionale);
- Denominazione dell’organizzazione, settore di attività, dimensione aziendale;
- Ruolo aziendale dell’Utente e dati del DPO (ove indicato);
- Credenziali di autenticazione (password in formato hash).
2.2 Dati di utilizzo e log tecnici
- Log di accesso: data, ora, indirizzo IP, user agent del browser;
- Azioni eseguite nella Piattaforma (audit log con timestamp);
- Moduli attivati, configurazioni applicate, preferenze di lingua e tema;
- Dati di navigazione all’interno della Piattaforma.
2.3 Dati di compliance inseriti dall’Utente
- Registri dei trattamenti, DPIA, notifiche di data breach;
- Richieste degli interessati (DSR), contratti, segnalazioni whistleblowing;
- Documenti, evidenze e configurazioni di compliance;
- Tali dati sono trattati esclusivamente per conto dell’Utente in qualità di Responsabile del Trattamento (art. 28 GDPR).
2.4 Dati di fatturazione
- Ragione sociale, codice fiscale, P.IVA, indirizzo di fatturazione;
- Codice destinatario SdI o PEC per fatturazione elettronica;
- I dati di pagamento (carte di credito) non transitano sui nostri server ma sono gestiti dal gateway di pagamento certificato PCI-DSS.
3. Finalità e Base Giuridica del Trattamento
I dati personali sono trattati per le seguenti finalità, ciascuna supportata da una specifica base giuridica ai sensi dell’art. 6 del GDPR:
| Finalità | Base Giuridica | Conservazione |
|---|---|---|
| Registrazione ed erogazione del Servizio | Esecuzione contrattuale (art. 6.1.b) | Durata del contratto + 30 giorni |
| Gestione account e autenticazione | Esecuzione contrattuale (art. 6.1.b) | Durata del contratto |
| Fatturazione e adempimenti contabili | Obbligo legale (art. 6.1.c — artt. 2220 c.c., D.P.R. 600/73) | 10 anni dall’emissione del documento |
| Sicurezza della Piattaforma e audit log | Legittimo interesse (art. 6.1.f) | 5 anni dalla registrazione |
| Comunicazioni di servizio e notifiche | Esecuzione contrattuale (art. 6.1.b) | Durata del contratto |
| Trattamento dati compliance per conto dell’Utente | Esecuzione contrattuale / Nomina ex art. 28 | Definita dall’Utente (Titolare) |
| Segnalazioni Whistleblowing | Obbligo legale (art. 6.1.c — D.Lgs. 24/2023) | 5 anni dalla chiusura segnalazione |
| Gestione richieste e supporto tecnico | Esecuzione contrattuale (art. 6.1.b) | Durata del contratto + 12 mesi |
| Difesa in giudizio e tutela dei diritti | Legittimo interesse (art. 6.1.f) | Termini di prescrizione applicabili |
4. Modalità di Trattamento
4.1 Ruolo di XION IT Group come Titolare
Per i dati di registrazione, account, fatturazione e utilizzo della Piattaforma, XION IT Group agisce in qualità di Titolare del Trattamento ai sensi dell’art. 4(7) del GDPR.
4.2 Ruolo di XION IT Group come Responsabile (art. 28 GDPR)
Per i dati inseriti dagli Utenti nella Piattaforma (registri trattamenti, incidenti, contratti, segnalazioni, DPIA, ecc.), XION IT Group agisce in qualità di Responsabile del Trattamento per conto dell’Utente, che resta Titolare del Trattamento dei propri dati aziendali. In tale veste, XION IT Group si impegna a:
- Trattare i dati esclusivamente secondo le istruzioni documentate del Titolare;
- Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza;
- Adottare le misure di sicurezza di cui all’art. 32 GDPR;
- Assistere il Titolare nell’evasione delle richieste degli interessati;
- Restituire o cancellare i dati al termine del rapporto contrattuale;
- Mettere a disposizione le informazioni necessarie per dimostrare la conformità.
Su richiesta, è disponibile un Data Processing Agreement (DPA) conforme all’art. 28 GDPR, comprensivo delle Clausole Contrattuali Tipo ove applicabile.
4.3 Misure di sicurezza tecniche
- Crittografia in transito: tutte le comunicazioni sono protette tramite TLS 1.3;
- Hashing delle password: algoritmo bcrypt con salt unico per ciascun utente;
- Protezione CSRF: token univoco per ogni sessione e form;
- Isolamento multi-tenant: separazione logica dei dati tra Workspace a livello applicativo e di database;
- Crittografia at-rest: backup crittografati con algoritmi AES-256;
- Rate limiting: protezione contro attacchi brute-force e DDoS sulle API;
- Soft delete: i dati eliminati sono recuperabili per 30 giorni prima della cancellazione definitiva.
4.4 Misure di sicurezza organizzative
- Audit logging: registrazione completa di tutte le operazioni con timestamp, utente e indirizzo IP;
- Accesso basato su ruoli (RBAC): controllo granulare degli accessi per ruolo aziendale;
- Formazione: il personale autorizzato riceve formazione periodica sulla protezione dei dati;
- Procedure di incident response: protocollo documentato per la gestione degli incidenti di sicurezza;
- Monitoraggio continuo: controllo degli accessi anomali e delle vulnerabilità.
5. Destinatari dei Dati
I dati personali possono essere comunicati alle seguenti categorie di destinatari:
| Categoria | Finalità | Localizzazione |
|---|---|---|
| Hosting provider | Infrastruttura server per l’erogazione del Servizio | UE (Germania) |
| Servizi email transazionali | Invio notifiche, comunicazioni di servizio | UE |
| Gateway di pagamento | Elaborazione pagamenti (i dati della carta non transitano sui nostri server) | UE |
| Servizi di backup | Backup crittografati dei dati | UE |
| Autorità competenti | Quando richiesto dalla legge o da provvedimenti dell’Autorità | Italia / UE |
Tutti i sub-responsabili del trattamento sono vincolati da accordi conformi all’art. 28 del GDPR. L’elenco aggiornato dei sub-responsabili è disponibile su richiesta scrivendo a privacy@gapoff.it.
I dati personali non sono oggetto di diffusione, né sono comunicati a soggetti terzi per finalità di marketing o profilazione commerciale.
6. Trasferimento Extra-UE
I dati personali sono conservati su server ubicati nell’Unione Europea (data center in Germania) e non vengono trasferiti al di fuori dello Spazio Economico Europeo (SEE).
Qualora in futuro si rendesse necessario un trasferimento extra-UE, questo avverrà esclusivamente sulla base di:
- Decisione di adeguatezza della Commissione Europea (art. 45 GDPR);
- Clausole Contrattuali Tipo (SCC) approvate dalla Commissione Europea (art. 46.2.c GDPR);
- Altre garanzie adeguate ai sensi degli artt. 46-49 del GDPR.
L’Utente sarà informato preventivamente di qualsiasi modifica relativa alla localizzazione dei dati.
7. Conservazione dei Dati
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, in conformità al principio di limitazione della conservazione di cui all’art. 5.1.e) del GDPR.
| Tipologia di dati | Periodo di conservazione |
|---|---|
| Dati di account e profilo | Durata del contratto + 30 giorni dalla cancellazione dell’account |
| Dati di fatturazione e contabilità | 10 anni dall’emissione del documento fiscale (artt. 2220 c.c., D.P.R. 600/73) |
| Log di accesso e audit trail | 5 anni dalla registrazione dell’evento |
| Dati di compliance (inseriti dall’Utente) | Definita dall’Utente in qualità di Titolare; eliminati entro 30 giorni dalla cessazione del contratto, salvo diversa richiesta |
| Segnalazioni whistleblowing | 5 anni dalla chiusura della segnalazione (D.Lgs. 24/2023) |
| Cookie tecnici e di sessione | Durata della sessione di navigazione |
| Cookie di preferenza | 12 mesi dall’impostazione |
| Dati di supporto tecnico | Durata del contratto + 12 mesi |
Al termine del periodo di conservazione, i dati vengono cancellati in modo sicuro e irreversibile, salvo obblighi di legge che ne impongano una conservazione più prolungata.
8. Diritti dell’Interessato (artt. 15-22 GDPR)
Ai sensi del Regolamento (UE) 2016/679, l’Interessato ha il diritto di esercitare i seguenti diritti in qualsiasi momento:
Come esercitare i propri diritti
L’Interessato può esercitare i propri diritti inviando una richiesta scritta a:
- Email: privacy@gapoff.it
- PEC: xionitgroup@pec.it
- Posta raccomandata: XION IT Group S.r.l., Viale Coni Zugna 7, 20144 Milano (MI)
Il Titolare si impegna a rispondere entro 30 giorni dalla ricezione della richiesta, salvo proroga motivata di ulteriori 60 giorni in caso di particolare complessità (art. 12.3 GDPR). L’esercizio dei diritti è gratuito, salvo richieste manifestamente infondate o eccessive (art. 12.5 GDPR).
9. Cookie Policy
La Piattaforma GAPOFF utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del Servizio. Non sono utilizzati cookie di profilazione, cookie analitici di terze parti o strumenti di tracciamento per finalità pubblicitarie.
| Cookie | Tipo | Finalità | Durata |
|---|---|---|---|
session | Tecnico | Gestione della sessione utente autenticata | Sessione |
csrf_token | Tecnico | Protezione contro attacchi Cross-Site Request Forgery | Sessione |
lang | Preferenza | Memorizzazione della lingua selezionata | 12 mesi |
theme | Preferenza | Memorizzazione del tema dell’interfaccia | 12 mesi |
Ai sensi dell’art. 122 del D.Lgs. 196/2003 e delle Linee Guida del Garante del 10 giugno 2021, i cookie tecnici non richiedono il consenso preventivo dell’Utente. L’Utente può in ogni caso gestire le preferenze sui cookie attraverso le impostazioni del proprio browser.
10. Whistleblowing e D.Lgs. 24/2023
Il modulo Whistleblowing della Piattaforma GAPOFF è conforme al D.Lgs. 24/2023 (attuazione della Direttiva (UE) 2019/1937) e prevede specifiche garanzie per la protezione dei dati del segnalante:
10.1 Principi di trattamento
- Anonimato del segnalante: l’identità del segnalante non è accessibile se non nei casi tassativamente previsti dalla legge (art. 12 D.Lgs. 24/2023);
- Minimizzazione: sono raccolti solo i dati strettamente necessari alla gestione della segnalazione;
- Limitazione della finalità: i dati sono trattati esclusivamente per la gestione della segnalazione e i relativi procedimenti.
10.2 Misure di sicurezza specifiche
- Crittografia end-to-end delle comunicazioni nel canale di segnalazione;
- Token univoco per il tracciamento della segnalazione senza necessità di autenticazione;
- Accesso limitato ai soli soggetti autorizzati dalla normativa;
- Separazione logica e fisica dei dati delle segnalazioni;
- Audit trail dedicato non accessibile agli utenti ordinari.
10.3 Conservazione
I dati relativi alle segnalazioni sono conservati per 5 anni dalla data di chiusura della pratica, in conformità all’art. 14 del D.Lgs. 24/2023, salvo diversa disposizione di legge o necessità legate a procedimenti giudiziari in corso.
11. Data Breach
In caso di violazione dei dati personali (data breach) ai sensi degli artt. 33-34 del GDPR, XION IT Group si impegna a:
- Notificare l’Autorità Garante entro 72 ore dalla scoperta della violazione, qualora questa comporti un rischio per i diritti e le libertà delle persone fisiche (art. 33 GDPR);
- Comunicare la violazione agli Interessati senza ingiustificato ritardo, qualora la violazione presenti un rischio elevato per i diritti e le libertà (art. 34 GDPR);
- Informare gli Utenti (Titolari) senza ingiustificato ritardo, consentendo loro di adempiere ai propri obblighi di notifica in qualità di Titolari del trattamento dei dati inseriti nella Piattaforma;
- Documentare tutte le violazioni nel registro dei data breach, incluse le circostanze, gli effetti e le misure correttive adottate (art. 33.5 GDPR).
Contatto per segnalazione incidenti: security@gapoff.it — Le segnalazioni di potenziali violazioni di sicurezza sono trattate con la massima priorità.
12. Modifiche alla Privacy Policy
Il Titolare si riserva il diritto di aggiornare la presente Informativa in qualsiasi momento per adeguarla a modifiche normative, organizzative o tecnologiche.
Ogni modifica significativa sarà comunicata:
- Tramite email all’indirizzo associato all’account dell’Utente;
- Tramite notifica in-app al primo accesso successivo alla modifica;
- Con pubblicazione della versione aggiornata su questa pagina, con indicazione della data di ultimo aggiornamento.
L’Utente è invitato a consultare periodicamente questa pagina per verificare eventuali aggiornamenti.
13. Contatti e Reclami
Titolare del Trattamento
XION IT Group S.r.l.
Viale Coni Zugna 7, 20144 Milano (MI)
P.IVA: IT 14208120965 — REA: MI-2766395
Email: privacy@gapoff.it
PEC: xionitgroup@pec.it
Autorità di Controllo
Garante per la Protezione dei Dati Personali
Piazza Venezia 11, 00187 Roma
Tel: (+39) 06 69677.1
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Sito: www.garanteprivacy.it
L’Interessato che ritenga che il trattamento dei propri dati personali sia effettuato in violazione del Regolamento (UE) 2016/679 ha il diritto di proporre reclamo all’Autorità Garante ai sensi dell’art. 77 GDPR, fatto salvo ogni altro ricorso amministrativo o giurisdizionale.