Informativa sulla privacy

Titolare del trattamento principale

Numezis SA
Chemin de Mornex 5
Losanna
Svizzera
CHE-123.456.789

Responsabile della protezione dei dati (DPO)
È nominato un DPO esterno.
Contatto: dpo@numezis.com

Punto di contatto unico per la privacy
privacy@numezis.com
(oppure contact@numezis.com con oggetto « Richiesta GDPR / LPD »)

La presente Politica si applica alle seguenti categorie di interessati:

• Utenti finali (amministratori, collaboratori, contabili, ecc.) che accedono al Servizio tramite un account organizzativo;
• Rappresentanti legali e contatti commerciali delle organizzazioni clienti;
• Prospect e persone che hanno interagito con i nostri team commerciali o marketing;
• Visitatori del sito numezis.com e dei suoi sottodomini; e
• Persone i cui dati sono trattati nell'ambito dei flussi operativi importati dai nostri Clienti (dati « importati » o « caricati »).

A seconda delle funzionalità utilizzate, possiamo trattare le seguenti categorie di dati personali:

• Dati identificativi & account: nome, cognome, e-mail professionale, ruolo, identificativo univoco.
• Dati di autenticazione & sicurezza: hash della password, token JWT/refresh, indirizzo IP, impronta del browser, log MFA.
• Dati di fatturazione & contratto: ragione sociale, n. IVA, indirizzo di fatturazione, dati di pagamento (tramite Stripe).
• Dati di utilizzo & telemetria: azioni effettuate (clic, pagine viste), tempo di utilizzo, errori applicativi, quote.
• Dati operativi importati: fatture PDF/XML, scritture contabili, anagrafiche dipendenti, estratti conto, ecc.
• Dati di supporto & comunicazione: contenuti dei ticket, scambi e-mail/chat, registrazioni di chiamate (se autorizzate).
• Dati marketing & eventi: preferenze di comunicazione, storico aperture, partecipazione a webinar.

Trattiamo i dati personali per le seguenti finalità, sulla base delle basi giuridiche previste dal GDPR e dal diritto svizzero (se applicabile):

• Creazione, gestione e autenticazione degli account: esecuzione del contratto.
• Erogazione del Servizio (calcoli, generazione documenti, IA): esecuzione del contratto.
• Fatturazione, pagamenti e recupero crediti: esecuzione del contratto + obbligo legale.
• Rilevazione e prevenzione di frodi, abusi e incidenti di sicurezza: legittimo interesse (protezione della piattaforma e degli altri clienti).
• Logging per audit e tracciabilità contabile/fiscale: obbligo legale + legittimo interesse (Swiss GAAP, ESTV, audit esterni).
• Supporto tecnico e gestione incidenti: esecuzione del contratto + legittimo interesse (qualità del servizio).
• Miglioramento del prodotto (analisi aggregate e anonimizzate): legittimo interesse (sviluppo di funzionalità utili).
• Comunicazioni transazionali (fatture, alert sicurezza): esecuzione del contratto.
• Comunicazioni marketing non essenziali: consenso o legittimo interesse (con opt-out dove applicabile).
• Rispetto di obblighi legali (conservazione, risposte alle autorità): obbligo legale.

Conserviamo i dati personali per periodi proporzionati alle finalità e agli obblighi legali:

• Dati di account attivo: durata del rapporto contrattuale + 90 giorni dopo la cessazione (periodo di ripristino).
• Log di autenticazione & IP: 12 mesi su base mobile.
• Fatture emesse & dati contabili: 10 anni (termine fiscale svizzero).
• Dati operativi importati: secondo istruzioni del Cliente (DPA) + 30 giorni post-cessazione.
• Dati di supporto: 3 anni dopo la chiusura dell'ultimo ticket.
• Dati marketing (prospect): 3 anni dall'ultimo contatto significativo o dal ritiro del consenso.

Non vendiamo mai i Suoi dati personali.

Categorie di destinatari:

• Fornitori tecnici (hosting cloud, monitoring, messaggistica transazionale, supporto di livello 3);
• Stripe (pagamenti & fatturazione);
• Google Cloud Platform (hosting cloud e servizi di sicurezza);
• MongoDB Atlas (hosting database gestito);
• Microsoft Azure (Azure OpenAI) (modelli IA, secondo configurazione);
• Amazon Web Services (AWS) (ingestione e-mail in ingresso e archiviazione delle e-mail raw);
• Infomaniak (gestione DNS per numezis.com e servizi e-mail associati);
• Studi legali / esperti contabili (in caso di contenzioso o audit); e
• Autorità competenti (su richiesta giudiziaria o obbligo legale).

Tutti i responsabili sottoscrivono contratti conformi all'art. 28 GDPR / diritto svizzero. L’elenco aggiornato dei principali sub-responsabili è inoltre descritto nel nostro DPA.

La maggior parte dei dati è ospitata in Svizzera (data center certificati ISO 27001, pratiche FINMA/Swiss Hosting).

Quando sono necessari trasferimenti fuori Svizzera/SEE, utilizziamo in particolare:

• Clausole Contrattuali Standard 2021 (SCC) + valutazione TIA (Transfer Impact Assessment);
• Codici di condotta settoriali approvati; e
• Binding Corporate Rules (BCR) ove disponibili.

Applichiamo un approccio defense-in-depth:

• Crittografia a riposo e in transito (TLS);
• Gestione rigorosa degli accessi (least privilege, MFA);
• Separazione logica degli ambienti (prod / staging / dev);
• Protezioni di rete (WAF / mitigazione DDoS / rate limiting) tramite servizi di sicurezza cloud (es. Google Cloud Armor);
• Gestione centralizzata dei segreti (Google Secret Manager);
• Logging e monitoring per sicurezza e affidabilità;
• Gestione regolare delle vulnerabilità e review di sicurezza; e
• Backup cifrati con retention definita.

In base al diritto applicabile, Lei può esercitare i seguenti diritti:

• Diritto di accesso;
• Diritto di rettifica;
• Diritto alla cancellazione (« diritto all'oblio »);
• Diritto alla limitazione;
• Diritto di opposizione;
• Diritto alla portabilità;
• Diritto di revocare il consenso (quando il consenso costituisce la base giuridica); e
• Diritto di definire direttive post-mortem (diritto svizzero).

Modalità: privacy@numezis.com
Termine di risposta: 1 mese (prorogabile di 2 mesi in caso di complessità).
Può essere richiesta una verifica ragionevole dell'identità.

Possiamo modificare la presente Politica. Le modifiche sostanziali saranno notificate via e-mail o tramite un banner in-app almeno 30 giorni prima della loro entrata in vigore.

Diritto svizzero + Regolamento (UE) 2016/679 quando applicabile.

Foro competente: tribunali del circondario di Losanna (Losanna).