Informativa Privacy v2 — Siesmic SaaS
Versione 2.0.0 · data: 2026-06-29 · ai sensi degli artt. 13-14 GDPR (Reg. UE 2016/679) e del D.Lgs. 196/2003.
§1 Titolare del trattamento
Persona fisica identificata via Q-code (rinvio a visura camerale Registro Imprese, P.IVA italiana attiva, agente di commercio monomandatario ex art. 1742 c.c.). Recapito unico per esercizio diritti GDPR: siesmic@baco-network.org.
§2 Responsabile della protezione dati (DPO)
Non designato. Motivazione: il trattamento non rientra nei casi obbligatori di cui all'art. 37(1) GDPR (autorita pubblica, monitoraggio sistematico su larga scala, dati particolari su larga scala). Valutazione documentata in decisions_log.md DEC-027.
§3 Dati trattati e finalita
| Categoria | Finalita | Base giuridica | Ritenzione |
|---|---|---|---|
| Contatto, fatturazione, esercizio diritti | art. 6(1)(b) contratto + 6(1)(c) obblighi fiscali | 10 anni (art. 2220 c.c.) | |
| Stripe customer ID, status abbonamento, importo, ultime 4 cifre | Gestione abbonamento | art. 6(1)(b) contratto | 10 anni |
| Telegram chat_id | Recapito avvisi | art. 6(1)(b) contratto | durata abbonamento + 12 mesi |
| Registro click-wrap (testo, hash SHA-256, blocchi, frase, IP, UA, timestamp, firma HMAC) | Prova del consenso informato | art. 6(1)(c) obbligo di legge documentale + legittimo interesse 6(1)(f) difesa in giudizio | 10 anni dalla cessazione |
| Log tecnici (richieste API, errori) | Sicurezza, debug | art. 6(1)(f) legittimo interesse | 90 giorni |
§4 Dati che NON trattiamo
- Dati completi della carta di pagamento (restano in Stripe).
- Geolocalizzazione precisa.
- Profilazione commerciale.
- Categorie particolari ex art. 9 GDPR.
- Dati di minori (servizio vietato ai minori).
§5 Responsabili esterni (sub-processor)
| Soggetto | Ruolo | Sede | Trasferimento extra-UE |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Pagamento, fatturazione | Irlanda | SCC 2021/914 verso Stripe Inc. USA |
| Telegram FZ-LLC | Messaggistica | Dubai, UAE | Standard clauses piattaforma (informativa Telegram); decisione di adeguatezza non applicabile, garanzie ex art. 46 GDPR su base contrattuale piattaforma |
| Hetzner / OVH / altro VPS provider (UE) | Hosting backend | Germania / Francia (UE) | Nessuno (intra-UE) |
| Google Ireland Ltd. (reCAPTCHA v2 «I'm not a robot») | Verifica antibot esplicita sui form di accettazione click-wrap e checkout | Irlanda + sub-processor Google LLC (USA) | SCC Decisione UE 2021/914; dati raccolti: IP, user agent, cookie di sessione Google sul dominio google.com, eventi di interazione col widget e con l'eventuale sfida visiva. Nessun cookie del Servizio impostato da reCAPTCHA su domini del Titolare. Le clausole d'uso e privacy di Google si applicano (linkate in calce al modulo). |
L'elenco aggiornato e disponibile a richiesta scrivendo a siesmic@baco-network.org.
§6 Trasferimenti extra-UE
Stripe: garanzia tramite SCC Decisione UE 2021/914 + misure supplementari. Telegram: nel momento in cui il Sottoscrittore accetta nel click-wrap il blocco «Telegram come responsabile», il trasferimento dei suoi messaggi a Telegram FZ-LLC (UAE) e una conseguenza necessaria del Servizio richiesto; il Titolare non puo offrire avvisi via Telegram senza tale trasferimento. Il Sottoscrittore puo non sottoscrivere se il trasferimento non e accettabile per lui.
§7 Diritti dell'interessato
Artt. 15-22 GDPR: accesso, rettifica, cancellazione, limitazione, portabilita, opposizione, revoca consenso (senza pregiudicare la liceita dei trattamenti pregressi). Reclamo al Garante Privacy italiano (www.garanteprivacy.it) o all'autorita dello Stato UE di residenza.
§8 Decisioni automatizzate
Nessuna decisione automatizzata ex art. 22 GDPR. Il classificatore on-device del PoC genera notifiche tecniche, non valutazioni della persona.
§9 Sicurezza
TLS in transito, HMAC SHA-256 su accettazioni click-wrap, idempotenza eventi Stripe, redaction log, separazione segreti (env), aggiornamenti sicurezza container. Nessun trattamento dati carta.
§10 DPIA
Pre-valutazione: il trattamento non rientra nell'elenco obbligatorio DPIA del Garante (Provv. 11/10/2018), ne nelle soglie dell'art. 35(3) GDPR (decisioni automatizzate, larga scala su dati particolari, monitoraggio sistematico). Tuttavia il Titolare ha redatto una DPIA-stub (/legal/DPIA_stub.md) per documentare rischi specifici (R-01, R-03) del Servizio sperimentale.
§11 Aggiornamenti
Modifiche sostanziali notificate con preavviso 30 giorni. Hash SHA-256 di ogni versione in CHANGELOG_LEGAL.md.