ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”)
Versione 1.0 – 15/02/2026
Il Titolare del trattamento è:
Onerian S.r.l.
Via Pasquale Pardi, 15 – 56121 Pisa (PI)
P. IVA / C.F. 02553350501
Email: privacy@assistenterup.it
PEC: oneriansrl@legalmail.it
Il Titolare opera nel rispetto dei principi di cui all’art. 5 GDPR e adotta misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, integrate nel proprio sistema di gestione della sicurezza delle informazioni.
La presente informativa disciplina i trattamenti di dati personali effettuati:
2.1 In qualità di Titolare autonomo
Con riferimento a:
• utenti registrati al Servizio;
• amministratori di sistema;
• referenti del Cliente;
• dati acquisiti tramite SPID e/o CIE;
• dati di navigazione del sito;
• iscritti alla newsletter.
2.2 In qualità di Responsabile del trattamento ex art. 28 GDPR
Per i dati personali contenuti nei documenti, atti o contenuti caricati nel Servizio dal Cliente.
Tale trattamento è disciplinato dall’Accordo sul Trattamento dei Dati (DPA).
Il Cliente rimane titolare dei dati caricati ed è responsabile della loro liceità e correttezza.
3.1 Dati identificativi e di autenticazione
• Nome e cognome
• Codice fiscale
• Email istituzionale
• Ente di appartenenza
• Ruolo
• Identificativi SPID/CIE
Il Titolare non tratta né conserva credenziali SPID/CIE.
3.2 Dati amministrativi e contrattuali
• Dati fiscali e di fatturazione
• Riferimenti a ordini o atti amministrativi
• Informazioni relative alle licenze
3.3 Dati tecnici e di utilizzo
• Log di accesso
• Indirizzo IP
• Timestamp
• Audit trail delle operazioni
• Metriche tecniche di utilizzo delle funzionalità AI
I log sono trattati per finalità di sicurezza, tracciabilità e prevenzione abusi.
3.4 Dati di navigazione del sito
• Indirizzo IP
• Informazioni tecniche del dispositivo
• Log applicativi
3.5 Dati per Newsletter
• Nome
• Cognome
Il consenso è raccolto tramite meccanismo di double opt-in e viene registrato con evidenza di:
• data e ora
• indirizzo IP
• versione dell’informativa accettata
4.1 Erogazione del Servizio
Base giuridica: art. 6.1.b GDPR – esecuzione del contratto.
4.2 Autenticazione e tracciabilità
Base giuridica:
• art. 6.1.b GDPR
• art. 6.1.c GDPR
4.3 Adempimenti legali e fiscali
Base giuridica: art. 6.1.c GDPR.
4.4 Sicurezza e prevenzione abusi
Base giuridica: art. 6.1.f GDPR – legittimo interesse.
Include:
• monitoraggio anomalie
• gestione incidenti
• applicazione Fair Usage Policy
4.5 Miglioramento tecnico del Servizio
Analisi su dati aggregati o pseudonimizzati.
Base giuridica: art. 6.1.f GDPR.
Non è effettuata profilazione individuale.
4.6 Newsletter e comunicazioni informative
Invio di:
• aggiornamenti sul Servizio
• contenuti informativi
• comunicazioni relative a eventi o novità
Base giuridica: art. 6.1.a GDPR – consenso.
Il consenso è revocabile in qualsiasi momento.
I dati raccolti nell’ambito dell’erogazione del Servizio non sono utilizzati per finalità di marketing senza consenso separato.
Il Servizio integra moduli di intelligenza artificiale per finalità di supporto operativo.
Il Titolare garantisce:
• utilizzo limitato alla finalità contrattuale;
• assenza di utilizzo per addestramento di modelli generici;
• segregazione logica tra ambienti cliente;
• controlli di accesso basati su ruolo (RBAC);
• cifratura dei dati in transito e a riposo.
Non sono adottate decisioni automatizzate con effetti giuridici ai sensi dell’art. 22 GDPR.
Il Titolare adotta misure conformi all’art. 32 GDPR, tra cui:
• cifratura dei dati at-rest e in-transit;
• segregazione degli ambienti;
• autenticazione forte;
• logging e monitoraggio continuo;
• gestione vulnerabilità;
• controllo accessi privilegiati;
• backup cifrati;
• procedure formalizzate di incident response;
• valutazioni periodiche dei rischi;
• applicazione dei principi di privacy by design e by default.
7.1 Dati contrattuali e amministrativi
I dati personali trattati per finalità contrattuali, amministrative e fiscali sono conservati per la durata del rapporto contrattuale e successivamente per 10 anni, in conformità agli obblighi civilistici e fiscali applicabili.
7.2 Log di sicurezza
I log di accesso e i dati tecnici di tracciabilità sono conservati per un periodo massimo di 12 mesi, salvo necessità di ulteriore conservazione in caso di accertamenti di sicurezza, gestione di incidenti o obblighi di legge.
7.3 Newsletter
I dati trattati per l’invio della newsletter sono conservati fino alla revoca del consenso da parte dell’interessato.
7.4 Identificativo pseudonimizzato antifrode
Per finalità di prevenzione di frodi o utilizzi abusivi del Servizio, può essere conservato un identificativo pseudonimizzato derivato dal codice fiscale dell’Utente, mediante funzione crittografica non reversibile.
Tale identificativo è conservato per un periodo massimo di 24 mesi dalla cessazione del rapporto.
7.5 Cancellazione dei dati
In caso di cessazione del rapporto contrattuale, scadenza della licenza o mancata conversione di un periodo di prova (trial), i dati personali trattati nell’ambito dell’erogazione del Servizio sono conservati per un periodo massimo di 60 giorni al fine di consentire eventuale richiesta di restituzione da parte del Cliente o dell’Utente.
Decorso tale termine, i dati sono definitivamente cancellati o anonimizzati, salvo obblighi di legge.
I dati eventualmente presenti nei sistemi di backup sono sovrascritti secondo i cicli tecnici di retention e comunque entro un periodo massimo di 90 giorni.
I dati possono essere trattati da:
• fornitori cloud UE;
• fornitori di servizi tecnici;
• provider newsletter;
• consulenti professionali;
• autorità competenti.
I fornitori sono nominati ai sensi dell’art. 28 GDPR e sottoposti a verifica periodica.
Il Servizio è ospitato su infrastruttura AWS situata nella regione Milano (Italia – eu-south-1).
I principali fornitori operano con data center localizzati nell’Unione Europea o nello SEE.
Alcuni fornitori tecnologici (es. servizi di posta elettronica e collaborazione) possono appartenere a gruppi societari con sede anche in Paesi terzi. In tali casi, eventuali trasferimenti avvengono nel rispetto degli artt. 44–49 GDPR mediante Clausole Contrattuali Standard e misure supplementari adeguate.
Il Titolare effettua valutazioni periodiche dei fornitori nell’ambito del proprio sistema di gestione della sicurezza delle informazioni.
Non sono effettuati trasferimenti sistematici di dati verso Paesi terzi per finalità proprie del Servizio.
L’interessato può esercitare i diritti di cui agli artt. 15–22 GDPR.
Le richieste sono gestite tramite procedura interna formalizzata.
Email: privacy@assistenterup.it
È possibile proporre reclamo al Garante per la protezione dei dati personali.
Il conferimento dei dati necessari al Servizio è obbligatorio.
Il conferimento per la newsletter è facoltativo.
Il Titolare mantiene:
• Registro dei trattamenti;
• procedure di gestione data breach;
• valutazioni del rischio;
• accordi con sub-responsabili;
• policy documentate di sicurezza.
La presente informativa è soggetta a revisione periodica.
Le versioni aggiornate sono pubblicate nella sezione Trust & Compliance.
