1. Titolare e contatti
Il titolare del trattamento per i trattamenti descritti nella presente informativa e' YE Engineering, P. IVA 03616710368, con sede in Via Romana 120, 41036 Medolla (MO), Italia, titolare del marchio e del prodotto SafeDesk (di seguito, il 'Titolare' o 'SafeDesk').
Per richieste in materia di privacy, esercizio dei diritti previsti dal GDPR o segnalazioni relative al trattamento dei dati personali e' possibile contattare il Titolare all'indirizzo info@safedesk.it.
Alla data di ultimo aggiornamento della presente informativa, il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO) non ritenendo sussistenti i presupposti di legge; tale valutazione resta soggetta a revisione periodica.
2. Ambito, interessati e ruoli privacy
La presente informativa si applica al sito safedesk.it, alle relative pagine pubbliche, all'applicazione accessibile tramite area riservata, ai moduli di contatto, ai flussi di registrazione, ai canali di supporto e ai servizi direttamente erogati da SafeDesk.
L'informativa riguarda, a seconda dei casi, visitatori del sito, referenti commerciali, utenti registrati, clienti, potenziali clienti, soggetti che caricano documenti tramite link o token dedicati, nonche' referenti amministrativi, tecnici o operativi del Cliente.
Per i trattamenti relativi a sito web, lead, richieste demo, registrazione account, gestione del rapporto contrattuale, supporto, sicurezza, fatturazione e pagamenti, SafeDesk agisce quale titolare del trattamento ai sensi dell'art. 4, par. 7, GDPR.
Quando il Cliente utilizza la piattaforma per trattare dati personali di lavoratori, collaboratori, fornitori, subappaltatori o altri terzi nell'ambito delle proprie finalita' professionali o organizzative, SafeDesk agisce normalmente quale responsabile del trattamento ai sensi dell'art. 28 GDPR, o quale sub-responsabile se il Cliente opera a sua volta per conto di un terzo.
3. Origine e categorie dei dati trattati
I dati personali possono essere raccolti direttamente dall'interessato, generati dall'uso del servizio o ricevuti indirettamente dal Cliente, dagli Utenti Autorizzati o da altri soggetti che utilizzano la piattaforma per conto del Cliente.
- Dati identificativi e di contatto: nome, cognome, e-mail, telefono, denominazione aziendale o professionale, ruolo, partita IVA, PEC, dati del profilo e riferimenti del referente.
- Dati di account e autenticazione: credenziali, identificativi utente, log di accesso, eventi di sessione, dati di verifica a due fattori, token tecnici e metadati di sicurezza.
- Dati contrattuali, amministrativi e di billing: piano attivo, stato dell'abbonamento, storico ordini, riferimenti di fatturazione, transazioni, ricevute, note amministrative e dati correlati.
- Dati contenuti in richieste di contatto, demo e supporto: contenuto dei messaggi, allegati, richieste commerciali, informazioni organizzative e corrispondenza via e-mail.
- Dati e documenti caricati nella piattaforma: documenti di sicurezza sul lavoro, attestati, anagrafiche, scadenze, allegati, immagini, metadati documentali, estrazioni strutturate e output generati dal servizio.
- Dati tecnici e di utilizzo: indirizzo IP, informazioni sul browser e sul dispositivo, log applicativi, eventi di navigazione, cookie, local storage e identificatori tecnici analoghi.
- Categorie particolari di dati eventualmente presenti nei documenti caricati dal Cliente, incluse informazioni relative a salute, idoneita' sanitaria o altri dati soggetti a tutela rafforzata ai sensi dell'art. 9 GDPR.
4. Finalita', basi giuridiche e natura del conferimento
| Finalita' | Ruolo di SafeDesk | Base giuridica | Dati principali | Conferimento |
|---|---|---|---|---|
| Navigazione del sito, sicurezza tecnica, prevenzione abusi e gestione operativa dell'infrastruttura | Titolare | Art. 6, par. 1, lett. f) GDPR - legittimo interesse alla sicurezza e al corretto funzionamento del servizio | IP, log tecnici, dati di sessione, cookie tecnici, eventi di sicurezza | Necessario per la navigazione e la sicurezza del servizio |
| Gestione di richieste di contatto, demo, preventivi e attivita' precontrattuali | Titolare | Art. 6, par. 1, lett. b) GDPR - misure precontrattuali richieste dall'interessato | Nome, e-mail, telefono, azienda, contenuto della richiesta | Necessario per ricevere riscontro |
| Follow-up commerciale enterprise e gestione delle relazioni B2B | Titolare | Art. 6, par. 1, lett. b) e/o lett. f) GDPR - misure precontrattuali e legittimo interesse a gestire relazioni commerciali B2B | Dati del referente, azienda, note commerciali, storico interazioni | Necessario per la gestione della relazione commerciale |
| Registrazione account, autenticazione, gestione del profilo, sicurezza accessi e organizzazione del tenant | Titolare | Art. 6, par. 1, lett. b) GDPR - esecuzione del contratto; art. 6, par. 1, lett. f) GDPR - sicurezza del servizio | Dati account, credenziali, metadati login, eventi 2FA, impostazioni organizzative | Necessario per usare la piattaforma |
| Erogazione del servizio SaaS, inclusa archiviazione documentale, dashboard, workflow, notifiche e funzioni collaborative | Titolare per i dati dell'account; responsabile/sub-responsabile per i dati di terzi trattati dal Cliente | Art. 6, par. 1, lett. b) GDPR; per i dati di terzi nei documenti la base giuridica e' determinata dal Cliente | Dati account, documenti caricati, metadati, anagrafiche e output operativi | Necessario per l'esecuzione del servizio |
| Analisi assistita da intelligenza artificiale di testo, immagini e documenti caricati | Titolare per gli utenti del servizio; responsabile/sub-responsabile per i dati di terzi contenuti nei documenti | Art. 6, par. 1, lett. b) GDPR; per categorie particolari e dati di terzi la base giuridica resta in capo al Cliente | Contenuto dei documenti, immagini, metadati, estrazioni e output AI | Necessario se il Cliente usa le funzioni AI; il Cliente decide se attivarle o meno |
| Gestione dei pagamenti, fatturazione, obblighi contabili, fiscali e amministrativi | Titolare | Art. 6, par. 1, lett. b) e lett. c) GDPR - esecuzione del contratto e obblighi di legge | Dati di fatturazione, storico pagamenti, dati amministrativi | Necessario per acquistare e mantenere il servizio a pagamento |
| Gestione del supporto, assistenza tecnica, troubleshooting e gestione incidenti | Titolare e, quando il supporto riguarda dati del Cliente, responsabile/sub-responsabile | Art. 6, par. 1, lett. b) e lett. f) GDPR | Messaggi di supporto, allegati, log tecnici, dati necessari alla risoluzione del problema | Necessario per ricevere assistenza |
| Tutela dei diritti del Titolare, gestione del contenzioso, prevenzione frodi e adempimenti normativi | Titolare | Art. 6, par. 1, lett. c) e lett. f) GDPR | Qualsiasi dato pertinente al caso concreto | Necessario nei limiti in cui il dato sia pertinente alla finalita' |
| Statistiche aggregate del sito tramite strumenti analytics di Google | Titolare | Art. 6, par. 1, lett. a) GDPR - consenso | Cookie analytics, dati di navigazione, eventi statistici | Facoltativo; il mancato consenso non impedisce l'uso del sito |
5. Documenti, AI e decisioni umane
SafeDesk utilizza componenti di intelligenza artificiale erogati tramite Google Cloud Vertex AI per supportare estrazione, classificazione, analisi e segnalazione di informazioni contenute nei documenti caricati dal Cliente. In funzione della tipologia del file, possono essere trattati testo, immagini o l'intero contenuto documentale.
Le funzionalita' AI sono progettate come strumento di supporto operativo. SafeDesk non utilizza i Contenuti del Cliente per addestrare propri modelli di intelligenza artificiale. I trattamenti effettuati tramite Google Cloud Vertex AI sono inquadrati nei termini Google Cloud applicabili, incluso il Cloud Data Processing Addendum (CDPA) e i Service Specific Terms. Alla data di ultimo aggiornamento della presente informativa, tali termini prevedono che Google non utilizzi i dati del cliente per addestrare o perfezionare modelli AI/ML senza preventiva autorizzazione o istruzione del cliente.
SafeDesk configura le chiamate Vertex AI sull'endpoint europeo europe-west1 e applica, a livello organizzativo e infrastrutturale, policy che limitano alle sole localita' UE la creazione di nuove risorse Google Cloud per i servizi supportati. Possono tuttavia permanere trattamenti tecnici accessori del provider, quali logging di sicurezza, caching o retention limitata, nei limiti dei termini contrattuali applicabili e della configurazione adottata.
Gli output generati possono contenere errori, omissioni o risultati non completi. SafeDesk non assume decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o incidano in modo analogo significativamente sugli interessati nell'ambito dei trattamenti svolti quale titolare.
Quando il Cliente utilizza output AI per proprie finalita' operative, resta integralmente responsabile della verifica umana, della decisione finale, della base giuridica dei dati trattati e del rispetto degli obblighi applicabili ai sensi del GDPR, dell'AI Act e della normativa di settore.
- SafeDesk non garantisce che l'analisi AI renda un documento automaticamente completo, corretto o conforme alla normativa applicabile.
- Il Cliente non deve utilizzare gli output AI come unico fondamento di decisioni con effetti rilevanti su lavoratori o altri interessati.
- Se i documenti contengono categorie particolari di dati, la responsabilita' sulla relativa liceita' del trattamento resta in capo al Cliente che ha deciso di caricarli o farli caricare nella piattaforma.
6. Modalita' del trattamento e misure di sicurezza
Il trattamento e' effettuato con strumenti informatici, telematici e organizzativi idonei a garantire riservatezza, integrita', disponibilita' e resilienza dei dati, nel rispetto dei principi di liceita', correttezza, trasparenza, minimizzazione, esattezza e limitazione della conservazione.
Tra le principali misure tecniche e organizzative adottate da SafeDesk rientrano, in funzione del contesto, controllo degli accessi basato su ruoli, autenticazione multifattore, protezione della sessione, cifratura del traffico in transito tramite TLS, cifratura dei dati a riposo mediante i meccanismi nativi dei principali provider infrastrutturali, logging e monitoraggio degli eventi di sicurezza, segregazione logica degli ambienti, backup periodici, gestione degli incidenti e principio del privilegio minimo per il personale autorizzato.
Per i servizi Google Cloud rilevanti, SafeDesk applica inoltre vincoli organizzativi che limitano la creazione di nuove risorse alle sole localita' UE per i servizi supportati e utilizza endpoint europei per le funzionalita' Vertex AI. Ove disponibili e pertinenti, sono utilizzati anche i meccanismi di audit e transparency messi a disposizione dal provider cloud per tracciare gli accessi amministrativi autorizzati.
I dati personali sono trattati da personale autorizzato e istruito, nonche' da fornitori e partner tecnici debitamente selezionati e vincolati, ove applicabile, da accordi conformi all'art. 28 GDPR o da ulteriori idonei impegni contrattuali.
7. Fornitori, destinatari e infrastruttura
I dati possono essere comunicati, nei limiti strettamente pertinenti, ad autorita', consulenti, istituti di credito, provider tecnici, fornitori di servizi infrastrutturali, professionisti e soggetti che agiscono quali responsabili del trattamento, sub-responsabili, destinatari autorizzati o titolari autonomi in base al ruolo concretamente ricoperto.
Per i trattamenti di pagamento e fatturazione svolti attraverso provider esterni, alcuni dati possono essere trattati dal provider anche in qualita' di titolare autonomo secondo la relativa documentazione contrattuale e privacy.
| Fornitore / categoria | Funzione | Localizzazione indicata |
|---|---|---|
| Amazon Web Services (EC2 e infrastruttura correlata) | Hosting del sito, del backend applicativo e del CMS self-hosted | Europa - Milano (Italia) |
| Supabase | Database gestito, autenticazione, storage documentale e servizi applicativi connessi | eu-north-1 - Stoccolma (Svezia) |
| Google Cloud - Vertex AI / Gemini | Funzionalita' AI per analisi di documenti, testo e immagini | europe-west1 - Belgio |
| Aruba S.p.A. | Dominio, posta elettronica e servizi SMTP | Italia / UE |
| Stripe | Gestione pagamenti, billing e abbonamenti | SEE e/o extra-SEE secondo i termini Stripe applicabili |
| Servizi analytics di Google e Google Search Console | Analytics del sito, misurazione statistica e monitoraggio tecnico dell'indicizzazione | SEE e/o extra-SEE secondo configurazione e termini Google applicabili |
8. Trasferimenti verso Paesi terzi
SafeDesk struttura i principali trattamenti del servizio su infrastrutture e regioni situate nello Spazio Economico Europeo. In particolare, per Google Cloud sono state adottate policy organizzative che limitano la creazione di nuove risorse alle sole localita' UE per i servizi supportati, mentre l'applicazione indirizza le chiamate Vertex AI all'endpoint europeo europe-west1.
Quando si rendono necessari trasferimenti di dati personali verso Paesi terzi, SafeDesk e i relativi fornitori si avvalgono delle garanzie previste dal Capo V del GDPR, incluse decisioni di adeguatezza, clausole contrattuali tipo approvate dalla Commissione europea o altre misure supplementari ritenute appropriate in relazione al caso concreto.
Con specifico riferimento ai servizi Google Cloud Vertex AI, SafeDesk si affida alla configurazione europea adottata e alle garanzie di data location, data residency e training restriction documentate dal provider per i servizi e le funzionalita' utilizzati, fermo restando che l'eventuale operativita' di supporto, la struttura societaria del fornitore o altri meccanismi previsti dal servizio devono essere valutati anche alla luce dei relativi termini contrattuali.
9. Tempi di conservazione
| Categoria | Criterio di conservazione |
|---|---|
| Richieste di contatto e demo | Fino a 12 mesi dall'ultima interazione, salvo ulteriore necessita' precontrattuale o tutela dei diritti del Titolare |
| Lead e trattative commerciali enterprise | Fino a 24 mesi dall'ultima interazione commerciale documentata, salvo opposizione o diverse esigenze giustificate |
| Dati di account e profilo | Per la durata del rapporto contrattuale e, successivamente, per il tempo necessario a chiusura tecnica, gestione backup, contestazioni o difesa dei diritti |
| Dati fiscali, amministrativi e di fatturazione | Per i termini previsti dalla legge applicabile, di regola non inferiori a 10 anni |
| Log di sicurezza e autenticazione | Per il tempo strettamente necessario alle finalita' di sicurezza e, in via ordinaria, non oltre 12 mesi, salvo esigenze investigative o contenzioso |
| Ticket di supporto e corrispondenza operativa | Per la durata necessaria alla gestione della richiesta e, successivamente, per un periodo coerente con esigenze di audit, continuita' operativa o tutela legale |
| Documenti e dati caricati dal Cliente nella piattaforma | Per la durata del rapporto contrattuale e secondo le istruzioni del Cliente; alla cessazione si applicano i termini di restituzione o cancellazione previsti dal DPA e dai tempi tecnici di backup |
| Dati analytics | Secondo le impostazioni del provider e le preferenze di consenso dell'utente |
10. Diritti degli interessati
Nei casi previsti dagli artt. 15-22 GDPR, l'interessato puo' chiedere accesso ai dati personali, rettifica, cancellazione, limitazione del trattamento, opposizione al trattamento fondato sul legittimo interesse, portabilita' dei dati e revoca del consenso eventualmente prestato, senza pregiudicare la liceita' del trattamento precedente alla revoca.
Le richieste possono essere inviate a info@safedesk.it. Il Titolare fornisce riscontro entro i termini previsti dal GDPR, normalmente entro 30 giorni dal ricevimento della richiesta, fatti salvi i casi di proroga consentiti dalla legge.
Se SafeDesk tratta i dati per conto del Cliente quale responsabile o sub-responsabile, le richieste relative a tali dati saranno di regola inoltrate al Cliente, che resta il soggetto competente a fornire riscontro sostanziale all'interessato, fermo restando il supporto tecnico di SafeDesk nei limiti previsti dal contratto e dal DPA.
11. Reclamo all'autorita' di controllo
Resta fermo il diritto dell'interessato di proporre reclamo al Garante per la protezione dei dati personali o all'autorita' di controllo competente nello Stato membro in cui risiede abitualmente, lavora oppure nel luogo in cui si e' verificata la presunta violazione.
12. Aggiornamenti della presente informativa
SafeDesk si riserva di aggiornare la presente informativa in caso di modifiche normative, evoluzione del servizio, aggiornamento dei fornitori, cambiamenti organizzativi o introduzione di nuove funzionalita'.
La versione aggiornata e' pubblicata su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche rilevanti, SafeDesk potra' darne comunicazione agli utenti registrati anche tramite e-mail o notifica in-app.
Contatti e riferimenti
Titolare / fornitore
SafeDesk, servizio gestito da YE Engineering
P. IVA 03616710368
Via Romana 120, 41036 Medolla (MO), Italia
Canali di contatto
Privacy e richieste legali: info@safedesk.it
Sito: https://safedesk.it
App: https://app.safedesk.it