Privacy Policy
Ultimo aggiornamento: 13 marzo 2026
1. Ruoli e Contatti
1.1 InfraService come Titolare del Trattamento
Per i dati personali raccolti direttamente su zerofogli.it (registrazione account, dati di fatturazione, form di contatto, cookie e analytics), il Titolare del trattamento è:
InfraService Srl
Email: info@infraservice.it
PEC: infraservice@pec.it
Sito web: zerofogli.it
1.2 InfraService come Responsabile del Trattamento
Quando i Clienti utilizzano le applicazioni ZeroFogli (Arena Sport, Edilizia, DOCG, Manutenzione, ecc.) per gestire i dati dei propri utenti, clienti o collaboratori, il Cliente è il Titolare del Trattamento e InfraService Srl agisce come Responsabile del Trattamento ai sensi dell'art. 28 del GDPR.
Il rapporto tra Titolare (Cliente) e Responsabile (InfraService) è disciplinato dall'Accordo sul Trattamento dei Dati (DPA), parte integrante dei Termini di Servizio.
1.3 Referente Privacy e DPO
Per qualsiasi richiesta relativa alla privacy e alla protezione dei dati personali, puoi scrivere a: info@infraservice.it
InfraService Srl, in quanto piccola impresa che non effettua trattamenti su larga scala di categorie particolari di dati né monitoraggio sistematico degli interessati, non è tenuta alla nomina di un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 del GDPR. Il referente per tutte le questioni relative alla protezione dei dati è raggiungibile all'indirizzo sopra indicato.
2. Dati Raccolti
Il sito zerofogli.it raccoglie le seguenti tipologie di dati personali:
2.1 Dati di registrazione e account
| Dato | Finalità | Base Giuridica |
|---|---|---|
| Nome e Cognome | Identificazione utente e gestione account | Esecuzione contratto (art. 6.1.b GDPR) |
| Indirizzo email | Accesso all'account, comunicazioni di servizio, verifica identità | Esecuzione contratto (art. 6.1.b GDPR) |
| Password (criptata) | Autenticazione e sicurezza account | Esecuzione contratto (art. 6.1.b GDPR) |
| Numero di telefono | Contatto diretto su richiesta | Consenso (art. 6.1.a GDPR) |
2.2 Dati di fatturazione
| Dato | Finalità | Base Giuridica |
|---|---|---|
| Ragione Sociale / Nome e Cognome | Emissione fattura | Obbligo legale (art. 6.1.c GDPR) |
| Partita IVA / Codice Fiscale | Emissione fattura elettronica | Obbligo legale (art. 6.1.c GDPR) |
| Indirizzo di fatturazione (via, città, CAP, provincia) | Emissione fattura | Obbligo legale (art. 6.1.c GDPR) |
| Codice SDI / PEC | Invio fattura elettronica tramite SDI | Obbligo legale (art. 6.1.c GDPR) |
2.3 Dati di pagamento
I pagamenti sono gestiti tramite Stripe, Inc., che agisce come Responsabile del Trattamento indipendente per i dati di pagamento (numero carta, scadenza, CVV). ZeroFogli non memorizza mai i dati delle carte di credito sui propri server. Per maggiori informazioni consulta la Privacy Policy di Stripe.
2.4 Dati forniti tramite form di contatto
| Dato | Finalità | Base Giuridica |
|---|---|---|
| Nome e Cognome | Gestione richieste di contatto | Consenso (art. 6.1.a GDPR) |
| Indirizzo email | Risposta alle richieste | Consenso (art. 6.1.a GDPR) |
| Nome azienda, telefono, messaggio | Comprensione delle esigenze | Consenso (art. 6.1.a GDPR) |
2.5 Dati raccolti automaticamente
Il sito utilizza cookie tecnici strettamente necessari al funzionamento. Per maggiori dettagli consulta la nostra Cookie Policy.
2.6 Dati nelle sezioni Demo
Le sezioni demo del sito permettono di inserire dati fittizi a scopo dimostrativo. Questi dati non vengono salvati su alcun server e restano nella memoria del browser fino alla chiusura della pagina. Ti consigliamo di non inserire dati personali reali nelle demo.
2.7 Consensi registrati
Al momento della registrazione registriamo la data e l'ora dell'accettazione della Privacy Policy, dei Termini di Servizio e dell'eventuale consenso alle comunicazioni commerciali, come richiesto dal principio di accountability del GDPR (art. 5.2).
3. Finalità del Trattamento
I dati personali sono trattati per le seguenti finalità:
- Esecuzione del contratto: creazione e gestione dell'account, erogazione dei servizi sottoscritti, assistenza tecnica.
- Adempimenti fiscali e contabili: emissione di fatture elettroniche, conservazione della documentazione fiscale come previsto dalla normativa italiana.
- Gestione dei pagamenti: elaborazione dei pagamenti tramite Stripe per l'attivazione e il rinnovo degli abbonamenti.
- Comunicazioni di servizio: invio di email relative all'account (verifica email, conferme pagamento, scadenze, modifiche al servizio).
- Comunicazioni commerciali: solo previo consenso esplicito, invio di aggiornamenti su nuove funzionalità, promozioni e servizi ZeroFogli.
- Gestione delle richieste di contatto: rispondiamo alle richieste inviate tramite il form di contatto o le richieste dalle demo.
- Obblighi di legge: adempimento di obblighi previsti dalla normativa vigente.
I dati non vengono utilizzati per profilazione automatizzata o vendita a terzi.
4. Misure di Sicurezza (Art. 32 GDPR)
I dati sono trattati con strumenti informatici e telematici, con logiche strettamente correlate alle finalità indicate. InfraService Srl adotta le seguenti misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio:
- Crittografia in transito: tutte le comunicazioni sono protette tramite protocollo TLS 1.2+ (HTTPS). I certificati SSL sono gestiti tramite Let's Encrypt con rinnovo automatico.
- Crittografia at rest: i backup dei database sono crittografati. I dati sensibili (password) sono protetti con hashing bcrypt.
- Isolamento infrastrutturale: ogni istanza applicativa client opera su VPS dedicati (Aruba S.p.A., datacenter in Italia) con isolamento a livello di rete e di sistema operativo.
- Accesso ai server: l'accesso ai server avviene esclusivamente tramite chiavi SSH (autenticazione a chiave pubblica). L'accesso con password e l'accesso root diretto sono disabilitati.
- Aggiornamenti di sicurezza: i server ricevono aggiornamenti di sicurezza automatici (unattended-upgrades). Le dipendenze software sono monitorate e aggiornate regolarmente.
- Backup: backup automatici giornalieri dei database con retention di 30 giorni. I backup sono conservati in location separate dal server di produzione.
- Principio del minimo privilegio: l'accesso ai sistemi e ai dati è limitato al personale strettamente necessario, con credenziali individuali.
- Logging e monitoraggio: gli accessi ai sistemi e le operazioni sui dati sono registrati in log di audit. Il monitoraggio attivo consente di rilevare accessi anomali.
- Firewall e protezione di rete: firewall configurato con policy deny-all e apertura delle sole porte necessarie al servizio. Protezione DDoS tramite Cloudflare.
5. Conservazione dei Dati
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti:
- Dati dell'account: conservati per tutta la durata dell'abbonamento e per 30 giorni dalla cancellazione dell'account, salvo obblighi di legge.
- Dati di fatturazione: conservati per 10 anni dalla cessazione del rapporto, come previsto dalla normativa fiscale italiana (art. 2220 c.c.).
- Dati da form di contatto: conservati per un massimo di 12 mesi dalla richiesta.
- Consensi GDPR: conservati per tutta la durata del rapporto e per 5 anni dalla cessazione, a fini di accountability.
- Dati di pagamento: gestiti e conservati da Stripe secondo le proprie policy di data retention.
6. Responsabili del Trattamento e Sub-responsabili (Art. 28 GDPR)
I dati personali non vengono ceduti a terzi per finalità proprie. Per l'erogazione dei servizi, InfraService si avvale dei seguenti fornitori che trattano dati in qualità di responsabili o sub-responsabili del trattamento:
| Fornitore | Sede | Servizio | Dati Trattati | Trasferimento Extra-UE |
|---|---|---|---|---|
| Aruba S.p.A. | Italia (UE) | Hosting VPS, SMTP email | Tutti i dati presenti sui server | N/A (datacenter in Italia) |
| Stripe, Inc. | USA | Elaborazione pagamenti | Dati di pagamento (nome, email, dati carta) | SCCs + DPA Stripe |
| Google LLC (Analytics) | USA | Analisi traffico web | Dati navigazione anonimizzati (IP troncato), cookie analitici | EU-US Data Privacy Framework + SCCs |
| Cloudflare, Inc. | USA | CDN, protezione DDoS | Indirizzo IP, header HTTP, dati di navigazione | EU-US Data Privacy Framework + SCCs |
| Google LLC (Fonts) | USA | Caricamento font web | Indirizzo IP | EU-US Data Privacy Framework + SCCs |
Nota su Stripe: per i dati di pagamento (numero carta, scadenza, CVV), Stripe agisce come Titolare autonomo del trattamento. ZeroFogli non memorizza mai i dati delle carte di credito sui propri server.
I dati possono inoltre essere comunicati a:
- Commercialista/consulente fiscale per gli adempimenti contabili e fiscali obbligatori.
- Autorità competenti quando richiesto dalla legge.
6.1 Aggiornamento della lista dei sub-responsabili
InfraService mantiene aggiornata la lista dei sub-responsabili su questa pagina. In caso di aggiunta o sostituzione di un sub-responsabile che tratti dati dei Clienti nell'ambito del servizio SaaS, InfraService informerà i Clienti con un preavviso di almeno 30 giorni tramite email, dando la possibilità di opporsi al cambiamento. Per i dettagli sulla procedura, consulta l'Accordo sul Trattamento dei Dati (DPA).
7. Trasferimento di Dati verso Paesi Terzi (Art. 44-49 GDPR)
I dati personali sono conservati prevalentemente su server ubicati nell'Unione Europea (Aruba S.p.A., datacenter in Italia).
Tuttavia, l'utilizzo di alcuni servizi di terze parti comporta il trasferimento di dati verso gli Stati Uniti d'America:
- Google Analytics (Google LLC): i dati di navigazione (con IP anonimizzato) possono essere trasferiti verso server Google negli USA. Il trasferimento avviene sulla base del EU-US Data Privacy Framework (decisione di adeguatezza della Commissione Europea del 10 luglio 2023) e delle Clausole Contrattuali Standard (SCCs) approvate dalla Commissione Europea.
- Stripe, Inc.: i dati di pagamento sono trasferiti verso Stripe negli USA sulla base delle Clausole Contrattuali Standard (SCCs) e del Data Processing Agreement sottoscritto con Stripe.
- Cloudflare, Inc.: i dati di navigazione transitano attraverso la rete Cloudflare, che opera server anche negli USA. Il trasferimento avviene sulla base del EU-US Data Privacy Framework e delle SCCs.
- Google Fonts (Google LLC): ad ogni visita, il browser comunica l'indirizzo IP ai server di Google. Il trasferimento avviene sulla base del EU-US Data Privacy Framework e delle SCCs.
Per maggiori informazioni sulle garanzie adottate per i trasferimenti internazionali, puoi contattarci a info@infraservice.it.
8. Procedura di Notifica Violazione Dati (Art. 33-34 GDPR)
In caso di violazione dei dati personali (data breach), InfraService adotterà la seguente procedura:
- Valutazione: immediata identificazione e valutazione della natura, portata e gravità della violazione.
- Notifica al Garante (Art. 33): se la violazione comporta un rischio per i diritti e le libertà delle persone fisiche, notifica all'Autorità Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta, tramite il portale del Garante (www.garanteprivacy.it).
- Comunicazione agli interessati (Art. 34): se la violazione comporta un rischio elevato per i diritti e le libertà delle persone fisiche, comunicazione tempestiva agli interessati con indicazione della natura della violazione, delle possibili conseguenze e delle misure adottate.
- Per i Clienti SaaS: in qualità di Responsabile del Trattamento, InfraService notificherà il Cliente (Titolare) senza ingiustificato ritardo dalla scoperta della violazione, fornendo tutte le informazioni necessarie affinché il Cliente possa adempiere ai propri obblighi di notifica.
- Registro delle violazioni: tutte le violazioni, anche quelle non soggette a notifica, sono documentate in un registro interno con descrizione della violazione, effetti e misure correttive adottate.
9. Registro dei Trattamenti (Art. 30 GDPR)
InfraService Srl mantiene un Registro delle Attività di Trattamento ai sensi dell'art. 30 del GDPR, sia in qualità di Titolare del Trattamento (per i dati raccolti direttamente su zerofogli.it) sia in qualità di Responsabile del Trattamento (per i dati trattati per conto dei Clienti nell'ambito dei servizi SaaS).
Il Registro documenta per ciascun trattamento: le categorie di dati trattati, le finalità, le basi giuridiche, i tempi di conservazione, le misure di sicurezza adottate e i sub-responsabili coinvolti.
Il Registro è disponibile su richiesta dell'Autorità Garante ed è consultabile contattando info@infraservice.it.
10. Diritti dell'Interessato
Ai sensi degli articoli 15-22 del Regolamento UE 2016/679, hai diritto di:
- Accesso: ottenere la conferma dell'esistenza dei tuoi dati e accedere al loro contenuto.
- Rettifica: richiedere la correzione di dati inesatti o incompleti.
- Cancellazione: richiedere la cancellazione dei tuoi dati (diritto all'oblio).
- Limitazione: richiedere la limitazione del trattamento in determinati casi.
- Portabilità: ricevere i tuoi dati in formato strutturato e leggibile.
- Opposizione: opporti al trattamento per motivi legittimi.
- Revoca del consenso: revocare il consenso in qualsiasi momento senza pregiudizio per il trattamento effettuato in precedenza.
Per esercitare i tuoi diritti, scrivi a: info@infraservice.it
Hai inoltre il diritto di proporre reclamo all'autorità di controllo competente: Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
10.1 Revoca del consenso
Puoi revocare il consenso al trattamento dei dati in qualsiasi momento attraverso le seguenti modalità:
- Consenso ai cookie analitici: cancellando i cookie dal browser o utilizzando le impostazioni del banner cookie alla prossima visita al sito.
- Consenso alle comunicazioni commerciali: cliccando sul link di disiscrizione presente in ogni comunicazione email, oppure scrivendo a info@infraservice.it.
- Consenso alla Privacy Policy e cancellazione account: scrivendo a info@infraservice.it con richiesta di cancellazione dell'account.
La revoca del consenso non pregiudica la liceità del trattamento basato sul consenso prestato prima della revoca.
11. Modifiche alla Privacy Policy
Il Titolare si riserva il diritto di apportare modifiche alla presente Privacy Policy in qualsiasi momento, dandone pubblicazione su questa pagina. In caso di modifiche sostanziali, provvederemo a darne adeguata evidenza.