Informativa sulla privacy
Resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
e del D.Lgs. 196/2003 e successive modifiche (Codice in materia di protezione
dei dati personali, come modificato dal D.Lgs. 101/2018).
Ultimo aggiornamento: 30 maggio 2026 · Versione 2.0
1. Titolare del trattamento
Il Titolare del trattamento è FISIT S.r.l., società di diritto italiano con sede legale in Italia, P.IVA e Codice Fiscale IT 02602500221, iscritta al Registro Imprese italiano.
Per qualunque comunicazione relativa al trattamento dei propri dati personali l'interessato può rivolgersi a:
- Email privacy: [email protected]
- Email generale: [email protected]
2. Responsabile della Protezione dei Dati (DPO)
Il Titolare non ha designato un Responsabile della Protezione dei Dati ai sensi dell'art. 37 GDPR, non rientrando nelle ipotesi obbligatorie previste dal Regolamento. Le richieste in materia di privacy sono gestite direttamente dal Titolare all'indirizzo [email protected].
3. Categorie di dati trattati
Il Titolare tratta le seguenti categorie di dati personali:
3.1 Dati di registrazione e contatto
- Nome, cognome, indirizzo email, numero di telefono
- Dati della società: ragione sociale, partita IVA, codice fiscale, sede legale, codice destinatario SDI, PEC
- Credenziali di accesso: la password è protetta tramite hashing irreversibile (bcrypt) e il Titolare non vi accede in chiaro
3.2 Dati di utilizzo della piattaforma
- Log di accesso (indirizzo IP, user-agent, timestamp) per finalità di sicurezza
- Audit log (chi modifica cosa, quando) per finalità di tracciabilità contabile
- Preferenze e impostazioni dell'account
3.3 Dati aziendali inseriti dall'utente
- Anagrafica clienti e fornitori, contatti, P.IVA
- Documenti fiscali (fatture attive/passive, prima nota, registri IVA, libro giornale, bilanci)
- Dati operativi: veicoli (targhe, scadenze), autisti (anagrafica, patente, CQC, ADR, carta tachigrafica), viaggi, ordini di trasporto, carburante, manutenzioni
- Dati del personale (gestione presenze, costi di commessa)
Per i dati inseriti dall'utente che riguardano persone fisiche terze (es. autisti dipendenti, clienti finali), l'utente del Servizio assume il ruolo di Titolare autonomo del trattamento; FISIT agisce in qualità di Responsabile del trattamento (art. 28 GDPR) sulla base del contratto di servizio sottoscritto.
3.4 Dati di pagamento
- I dati della carta di credito sono trattati direttamente dal processore di pagamento Revolut e non vengono memorizzati sui server del Titolare. Si conserva unicamente l'identificativo della transazione Revolut e l'importo.
4. Finalità del trattamento e basi giuridiche
| Finalità | Base giuridica |
|---|---|
| Erogazione del Servizio Trakka, gestione dell'account, esecuzione delle operazioni richieste | Esecuzione del contratto (art. 6.1.b GDPR) |
| Fatturazione del canone, gestione amministrativa, contabilità | Obbligo di legge (art. 6.1.c GDPR — normativa fiscale) |
| Sicurezza informatica, prevenzione frodi, log di accesso | Legittimo interesse del Titolare (art. 6.1.f GDPR) |
| Comunicazioni di servizio (manutenzioni, modifiche, scadenze) | Esecuzione del contratto (art. 6.1.b GDPR) |
| Newsletter, comunicazioni promozionali su nuove funzionalità | Consenso esplicito (art. 6.1.a GDPR), revocabile |
| Analisi statistica anonima del traffico web | Consenso (art. 6.1.a GDPR — banner cookie) |
5. Destinatari dei dati — Responsabili del trattamento esterni
Il Titolare si avvale dei seguenti fornitori, designati ai sensi dell'art. 28 GDPR come Responsabili del trattamento esterni:
- Hetzner Online GmbH (Germania, UE) — hosting dei server applicativi e database. Datacenter: Falkenstein / Norimberga. Dati conservati nell'Unione Europea.
- Cloudflare, Inc. (USA) — CDN, protezione DDoS, certificato SSL origin. Trasferimento extra-UE basato su Standard Contractual Clauses (Decisione 2021/914/UE) integrate da misure tecniche supplementari.
- Brevo SAS (già Sendinblue, Francia, UE) — invio email transazionali (conferme registrazione, recupero password, notifiche di servizio, invio fatture al cliente).
- Revolut Bank UAB (Lituania, UE) — gestione pagamenti del canone di abbonamento tramite carta di credito.
- FatturaElettronicaAPI — Easyfast S.r.l. (Italia) — intermediario tecnico autorizzato per la trasmissione e ricezione di fatture elettroniche al Sistema di Interscambio (SDI) dell'Agenzia delle Entrate.
- Google LLC (USA) — servizio di analisi del traffico web (Google Analytics 4), attivo solo previo consenso dell'utente espresso tramite banner cookie. Indirizzo IP anonimizzato prima della trasmissione. Trasferimento extra-UE basato su Standard Contractual Clauses.
Ogni Responsabile esterno tratta i dati esclusivamente per le finalità previste dal contratto stipulato con il Titolare, secondo le sue istruzioni, garantendo misure di sicurezza adeguate ai sensi dell'art. 32 GDPR.
I dati personali possono inoltre essere comunicati a:
- Autorità pubbliche (Agenzia delle Entrate, Guardia di Finanza, Autorità giudiziaria) ove richiesto dalla legge.
- Consulenti professionali del Titolare (commercialista, legale) esclusivamente per esigenze amministrative o di difesa in giudizio.
Il Titolare non vende, non cede e non comunica a terzi i dati personali per finalità commerciali di soggetti diversi.
6. Trasferimento dei dati extra-UE
I dati personali sono memorizzati su server situati nell'Unione Europea (Germania). Eventuali trasferimenti verso paesi terzi (tipicamente per servizi USA come Cloudflare e Google Analytics) avvengono nel rispetto delle garanzie previste dal Capo V del GDPR: decisioni di adeguatezza della Commissione (es. Data Privacy Framework USA) oppure Standard Contractual Clauses approvate dalla Commissione (Decisione 2021/914/UE), integrate da misure supplementari tecniche e organizzative.
7. Periodi di conservazione
| Categoria | Durata |
|---|---|
| Dati account attivi | Per tutta la durata del rapporto contrattuale |
| Dati account dopo disdetta | 30 giorni, poi cancellazione (salvo obblighi) |
| Documenti fiscali (fatture, prima nota, bilanci) | 10 anni (art. 2220 c.c. e DPR 600/73) |
| Log di accesso e audit log | 12 mesi (Provv. Garante 27/11/2008 amministratori di sistema) |
| Email transazionali inviate | 24 mesi |
| Backup cifrati | 90 giorni rolling (poi sovrascritti) |
| Dati per esigenze di difesa in giudizio | Fino al termine prescrizionale (10 anni) |
8. Diritti dell'interessato
L'interessato può esercitare, in qualunque momento, i seguenti diritti previsti dagli artt. 15-22 GDPR:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei propri dati;
- Rettifica (art. 16): correggere dati inesatti o integrare dati incompleti;
- Cancellazione — "diritto all'oblio" (art. 17), nei casi previsti;
- Limitazione del trattamento (art. 18);
- Portabilità (art. 20): ricevere i propri dati in formato strutturato e comunemente leggibile (JSON, CSV, XBRL);
- Opposizione (art. 21) al trattamento basato su legittimo interesse o per finalità di marketing;
- Revoca del consenso (art. 7.3) in qualunque momento, senza pregiudicare la liceità del trattamento basato sul consenso precedente alla revoca;
- Non essere sottoposti a decisioni basate unicamente sul trattamento automatizzato (art. 22): il Titolare non effettua profilazione né decisioni automatizzate con effetti giuridici sull'utente.
Per esercitare i diritti scrivere a [email protected], allegando un documento d'identità per verifica. La risposta arriverà entro un mese (art. 12.3 GDPR), prorogabile fino a tre mesi nei casi più complessi.
Diritto di reclamo all'Autorità di controllo. L'interessato può in ogni caso proporre reclamo al Garante per la Protezione dei Dati Personali: Piazza Venezia, 11 — 00187 Roma · www.gpdp.it · [email protected].
9. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, in particolare:
- Crittografia in transito tramite TLS 1.3 (Cloudflare Full Strict + certificato Origin)
- Crittografia a riposo dei database e dei backup (AES-256)
- Hashing irreversibile delle password (bcrypt)
- Isolamento multi-tenant a livello di query SQL (auto-filtro per tenant)
- Controllo degli accessi basato su ruoli (RBAC) con 70+ permessi granulari
- Audit log immutabile su ogni operazione contabile
- Backup giornalieri cifrati su destinazione UE
- Anti-brute-force con fail2ban (ban automatico IP dopo soglia tentativi falliti)
- CSP (Content Security Policy) attivo con nonce su script
- Aggiornamenti di sicurezza tempestivi
10. Cookie
Per il trattamento dei dati attraverso cookie e altri identificatori si rinvia alla Cookie Policy dedicata.
11. Trattamento di dati di minori
Il Servizio Trakka è rivolto esclusivamente a soggetti maggiorenni che rappresentano società o titolari di partita IVA. Il Titolare non raccoglie consapevolmente dati di persone di età inferiore ai 16 anni.
12. Modifiche alla presente informativa
Il Titolare si riserva di aggiornare la presente Informativa per riflettere modifiche normative, organizzative o tecniche. Le modifiche sostanziali saranno comunicate via email agli utenti registrati con preavviso di almeno 30 giorni. La data dell'ultimo aggiornamento è sempre indicata in alto a questa pagina.