Informativa privacy
Trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) per gli utenti del servizio Sidemate.
1. Titolare del trattamento
Il Titolare del trattamento dei dati è DIGI S.r.l., con sede legale in Lungodora Liguria 78/A, 10143 Torino (TO), Italia.
- Codice Fiscale e P.IVA: 13083240013
- R.E.A.: TO - 1337883
- Capitale sociale: € 10.000,00 i.v.
- PEC: digi-srl@pec.it
- Email per richieste privacy: hello@sidemate.io
Il Titolare non è obbligato per legge a nominare un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR. Per qualsiasi richiesta in materia di protezione dei dati personali è possibile scrivere a hello@sidemate.io.
2. Categorie di dati trattati
Sidemate tratta le seguenti categorie di dati personali:
2.1 Dati dell'Utente professionista (commercialista, consulente, studio)
- Dati identificativi: nome, cognome, ragione sociale, indirizzo email
- Credenziali di accesso: password (memorizzata in forma di hash crittografico, mai in chiaro)
- Dati di fatturazione: ragione sociale, indirizzo, P.IVA, codice fiscale (gestiti tramite Stripe)
- Dati tecnici di utilizzo: indirizzo IP, user agent, timestamp di accesso, log di sicurezza (audit log)
2.2 Dati dei "Clienti finali" (caricatori invitati dall'Utente)
- Indirizzo email
- Ragione sociale o nominativo del soggetto rappresentato
- Codici OTP a 6 cifre, generati e validi per breve durata
- File documentali caricati nel servizio
2.3 Contenuto dei documenti caricati
I file caricati possono contenere dati personali e potenzialmente categorie particolari di dati (ad es. dati fiscali, sanitari, anagrafici di terze parti). L'Utente è esso stesso Titolare del trattamento per i dati contenuti nei file caricati e DIGI S.r.l. opera in qualità di Responsabile del trattamento ex art. 28 GDPR limitatamente a tale contenuto. Vedi sezione 8.
3. Finalità e basi giuridiche
I dati sono trattati per le seguenti finalità:
| Finalità | Base giuridica |
|---|---|
| Erogazione del servizio (autenticazione, gestione account, raccolta documenti, invio promemoria) | Esecuzione del contratto (art. 6.1.b GDPR) |
| Gestione della fatturazione e adempimenti contabili/fiscali | Obbligo legale (art. 6.1.c GDPR) |
| Sicurezza del servizio (prevenzione frodi, log di audit, rilevamento abusi) | Legittimo interesse (art. 6.1.f GDPR) |
| Risposta a richieste di assistenza | Esecuzione del contratto / Legittimo interesse |
| Adempimento di obblighi di legge (es. risposta ad autorità) | Obbligo legale (art. 6.1.c GDPR) |
Sidemate non utilizza i dati personali per finalità di marketing e non invia comunicazioni promozionali. Le uniche email inviate sono di natura transazionale (conferme, promemoria, ricevute, comunicazioni relative al servizio).
4. Modalità del trattamento
I dati sono trattati con strumenti elettronici, secondo principi di liceità, correttezza, minimizzazione e sicurezza. In particolare:
- I file documentali sono memorizzati su AWS S3, criptati a riposo (server-side encryption) e in transito (TLS 1.2+)
- L'accesso ai file è esclusivamente IAM-only attraverso il backend di Sidemate: non esistono URL pubblici né bucket esposti
- Le password sono memorizzate con algoritmi di hashing crittografico moderni (bcrypt) e non sono mai conservate in chiaro
- I codici OTP hanno durata massima di 10 minuti e vengono invalidati dopo l'uso
- L'accesso amministrativo all'infrastruttura è soggetto a registrazione e principio del minimo privilegio
5. Periodo di conservazione
- Dati di account attivo: per tutta la durata del rapporto contrattuale
- Dati post-disdetta: 30 giorni in modalità "soft-delete" per consentire eventuale ripristino, dopodiché cancellazione definitiva
- Dati di fatturazione e documenti contabili: 10 anni dall'emissione, ai sensi degli artt. 2220 c.c. e 22 D.P.R. 600/1973
- Audit log di sicurezza: fino a 24 mesi
- Codici OTP: massimo 10 minuti dalla generazione
6. Destinatari e Responsabili esterni
Per l'erogazione del servizio, DIGI S.r.l. si avvale dei seguenti Responsabili del trattamento (subprocessor) ex art. 28 GDPR:
| Fornitore | Servizio | Localizzazione |
|---|---|---|
| Amazon Web Services EMEA SARL | Hosting infrastruttura, database, archiviazione file (S3) | Italia (Milano, eu-south-1) |
| Amazon Web Services EMEA SARL | Invio email transazionali (SES) | Unione Europea |
| Stripe Payments Europe Ltd. | Elaborazione pagamenti e fatturazione | Irlanda (con trasferimento a Stripe Inc., USA) |
I subprocessor sono vincolati da accordi contrattuali (DPA) che garantiscono la conformità al GDPR.
7. Trasferimenti extra-UE
I dati sono ospitati prevalentemente nell'Unione Europea (Italia, Milano). Eventuali trasferimenti verso paesi terzi (es. Stati Uniti, nel caso di Stripe) avvengono in presenza di garanzie adeguate ai sensi degli artt. 44-49 GDPR, in particolare attraverso:
- Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea
- Misure supplementari ove richieste dalla giurisprudenza Schrems II
8. Ruolo dell'Utente professionista come Titolare
L'Utente professionista (commercialista, consulente, studio) che carica o fa caricare nel servizio dati personali di terze parti (propri clienti, dipendenti, fornitori, ecc.) opera in qualità di Titolare autonomo del trattamento di tali dati.
DIGI S.r.l. agisce in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR per tali dati e si impegna a:
- trattare i dati esclusivamente per fornire il servizio richiesto
- garantire idonee misure tecniche e organizzative di sicurezza
- cancellare o restituire i dati al termine del contratto
- assistere l'Utente nel rispondere alle richieste degli interessati
L'Utente è responsabile per il rispetto degli obblighi informativi e di raccolta del consenso verso i propri interessati per i dati che immette nel servizio.
9. Diritti dell'interessato
L'interessato ha diritto, ai sensi degli artt. 15-22 GDPR, di:
- chiedere l'accesso ai propri dati personali
- chiedere la rettifica o l'aggiornamento di dati inesatti
- chiedere la cancellazione ("diritto all'oblio")
- chiedere la limitazione del trattamento
- esercitare il diritto alla portabilità dei dati
- opporsi al trattamento basato su legittimo interesse
- revocare in qualsiasi momento il consenso prestato (ove applicabile)
Per esercitare tali diritti è possibile scrivere a hello@sidemate.io. La risposta è fornita entro 30 giorni dalla ricezione della richiesta.
L'interessato ha inoltre diritto di proporre reclamo all'Autorità di controllo competente, in Italia il Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
10. Cookie e tecnologie simili
Il sito sidemate.io e l'applicazione app.sidemate.io utilizzano esclusivamente cookie tecnici e tecnologie di memorizzazione locale (localStorage) necessari al funzionamento del servizio:
- Cookie di sessione e token di autenticazione (necessari per accedere all'area riservata)
- Token CSRF (protezione da attacchi cross-site request forgery)
- Preferenza di lingua salvata in localStorage (
sm_lang) - Stato di accettazione del banner cookie (
sm_cookie_consent_v1)
Sidemate non utilizza cookie di profilazione, tracking pubblicitario, social plugin o strumenti di analytics (Google Analytics, Meta Pixel, ecc.). Per l'uso dei soli cookie tecnici non è richiesto il consenso preventivo dell'utente, ai sensi dell'art. 122 del Codice Privacy.
11. Modifiche all'informativa
DIGI S.r.l. si riserva il diritto di modificare la presente informativa. Eventuali modifiche sostanziali saranno comunicate agli utenti registrati via email con almeno 15 giorni di preavviso. La data di ultima revisione è indicata in apertura di pagina.
12. Contatti
Per qualsiasi domanda relativa al trattamento dei dati personali è possibile contattare:
- Email: hello@sidemate.io
- PEC: digi-srl@pec.it
- Indirizzo postale: DIGI S.r.l. — Lungodora Liguria 78/A, 10143 Torino (TO), Italia