1. Titolare del trattamento e contatti
Per i trattamenti relativi al sito pubblico, alla registrazione degli account, alla gestione commerciale e contrattuale, alla fatturazione, all’assistenza, alla sicurezza della piattaforma e agli adempimenti amministrativi, il Titolare del trattamento è:
Sede legale: Piazza Trivulziana 4/A, 20126 Milano (MI), Italia
P. IVA / C.F.: IT04398760274 / 04398760274
PEC: unitedsafety@pec.it
Email privacy: dpo@uese.it
Telefono: +39 02 5656 8416
Responsabile della protezione dei dati (DPO/RPD): contattabile all’indirizzo dpo@uese.it.
2. Distinzione dei ruoli privacy
Quando il Cliente utilizza la piattaforma per caricare documenti, dati energetici, nominativi, recapiti, informazioni contrattuali o altre informazioni riferibili a persone fisiche nell’ambito della propria organizzazione, il Cliente determina finalità e contenuti del trattamento e opera, di regola, quale Titolare del trattamento. UESE ITALIA S.p.A. tratta tali dati per erogare il servizio in qualità di Responsabile del trattamento, secondo l’Accordo sul trattamento dei dati.
Resta responsabilità del Cliente verificare la liceità dei dati caricati, fornire le informative necessarie, impartire istruzioni adeguate agli utenti autorizzati e non inserire dati eccedenti rispetto alle finalità perseguite.
3. Categorie di dati trattati
- Dati identificativi e di contatto: nome, cognome, ragione sociale, ruolo, email, telefono, dati fiscali e aziendali.
- Dati di account e sicurezza: credenziali in forma cifrata o hash, segreti 2FA cifrati, indirizzi IP, data e ora degli accessi, eventi di sicurezza, log applicativi e audit trail.
- Dati contrattuali e di pagamento: piano, stato dell’abbonamento, ordini, bonifici, identificativi delle transazioni. I dati completi delle carte sono trattati direttamente dal prestatore di pagamento e non vengono memorizzati dalla piattaforma.
- Contenuti del Cliente: bollette, contratti, fatture, consumi, POD/PDR, dati di siti e contatori, documenti del Sistema di Gestione dell’Energia, note, evidenze e output approvati.
- Dati di assistenza: richieste, comunicazioni, allegati, diagnosi tecniche e informazioni necessarie alla risoluzione dei problemi.
- Dati di navigazione: informazioni tecniche trasmesse dal browser e cookie strettamente necessari descritti nella Cookie policy.
La piattaforma non è progettata per trattare sistematicamente categorie particolari di dati di cui all’articolo 9 GDPR, dati giudiziari o dati relativi a minori. Il Cliente deve evitare di caricarli salvo che ciò sia strettamente necessario, lecito, documentato e autorizzato.
4. Finalità, basi giuridiche e natura del conferimento
| Finalità | Base giuridica | Conferimento |
|---|---|---|
| Registrazione, prova gratuita, autenticazione 2FA e gestione dell’account | Esecuzione di misure precontrattuali e del contratto; legittimo interesse alla sicurezza | Necessario per usare il servizio |
| Erogazione del SaaS, archiviazione, elaborazione documentale, assistenza e gestione operativa | Esecuzione del contratto; per i Contenuti del Cliente, istruzioni del Titolare ai sensi dell’art. 28 GDPR | Necessario per le funzioni richieste |
| Pagamenti, fatturazione, contabilità, gestione insoluti e difesa dei diritti | Contratto, obbligo legale e legittimo interesse | Necessario per l’abbonamento |
| Prevenzione abusi, controllo accessi, logging, continuità e sicurezza | Legittimo interesse e obblighi di sicurezza ex artt. 5, 24, 25 e 32 GDPR | Necessario |
| Comunicazioni di servizio, scadenze, sicurezza e modifiche contrattuali | Esecuzione del contratto e legittimo interesse | Necessario |
| Comunicazioni promozionali non strettamente connesse al servizio | Consenso, quando richiesto | Facoltativo e revocabile |
5. Trattamenti con funzioni di intelligenza artificiale
Le funzioni AI si attivano quando l’utente richiede analisi, estrazione, classificazione, generazione o assistenza. In tali casi, il testo, le immagini o i documenti strettamente necessari possono essere trasmessi al fornitore AI configurato, attualmente indicato come OpenAI Ireland Ltd., per produrre l’output richiesto.
Gli output sono proposte assistive: non producono decisioni giuridiche o effetti analogamente significativi in modo esclusivamente automatizzato. La piattaforma richiede la verifica e, ove previsto, la validazione umana prima dell’aggiornamento del database o dell’utilizzo documentale. Ulteriori informazioni sono disponibili nella pagina Trasparenza e uso responsabile dell’AI.
Gli utenti devono applicare minimizzazione e pseudonimizzazione, evitando di inviare all’AI dati personali non necessari, segreti industriali non pertinenti o informazioni soggette a particolari vincoli di riservatezza.
6. Destinatari, responsabili e sub-responsabili
I dati possono essere trattati da personale autorizzato e da fornitori selezionati per hosting, manutenzione, posta elettronica, assistenza, pagamenti e servizi AI. In funzione delle configurazioni attive, possono rientrare tra i fornitori:
- Hosting: fornitore di hosting configurato dal Titolare, con ubicazione dichiarata Unione europea o Spazio Economico Europeo, salvo diversa configurazione documentata.
- AI: OpenAI Ireland Ltd., limitatamente alle richieste AI attivate dall’utente.
- Pagamenti: Stripe Payments Europe, Limited, per checkout, abbonamenti e antifrode.
- Posta elettronica: fornitore di posta elettronica configurato dal Titolare, per comunicazioni di servizio e recupero credenziali.
- Consulenti e autorità: professionisti, revisori, autorità o soggetti legittimati nei limiti necessari per obblighi di legge, tutela dei diritti o gestione di incidenti.
L’elenco operativo dei sub-responsabili applicabili al Cliente può essere richiesto al contatto privacy.
7. Trasferimenti verso Paesi terzi
Qualora un fornitore tratti dati fuori dallo Spazio Economico Europeo, il trasferimento avviene sulla base di una decisione di adeguatezza, delle Clausole Contrattuali Standard della Commissione europea o di altro meccanismo previsto dagli articoli 44–49 GDPR, accompagnato, ove necessario, da valutazioni e misure supplementari. Il Cliente deve considerare tali trasferimenti nella propria valutazione privacy quando utilizza le funzioni AI o altri servizi esterni configurati.
8. Periodi di conservazione
| Categoria | Criterio indicativo |
|---|---|
| Account, contratto e fatturazione | Per la durata del rapporto e, per i dati amministrativo-contabili, fino a 10 anni o per il diverso termine imposto dalla legge. |
| Contenuti del Cliente | Per la durata dell’account e secondo le istruzioni del Cliente; dopo la cessazione, per il tempo tecnico necessario a esportazione, cancellazione e rotazione delle copie di sicurezza. |
| Prove gratuite non convertite | Per il periodo necessario a gestire la prova e le richieste dell’utente; gli account inattivi possono essere eliminati o anonimizzati secondo le procedure interne e gli obblighi di tutela. |
| Log di accesso e sicurezza | Per un periodo proporzionato alle finalità di sicurezza, audit e difesa; gli accessi degli amministratori di sistema sono conservati secondo le regole applicabili. |
| Richieste di assistenza | Per il tempo necessario alla gestione e successivamente per esigenze di qualità, sicurezza e tutela dei diritti. |
| Token di recupero password | Scadono dopo 60 minuti e vengono marcati come utilizzati dopo il cambio password. |
I termini possono essere estesi in presenza di contestazioni, obblighi legali, richieste dell’autorità o necessità di accertare, esercitare o difendere un diritto.
9. Misure di sicurezza
Sono adottate misure tecniche e organizzative proporzionate al rischio, tra cui separazione logica dei tenant, controllo degli accessi per ruolo, autenticazione a due fattori, hashing delle password, cifratura dei segreti applicativi, protezione CSRF, audit log, tracciamento degli eventi, limitazione dei tentativi, storage non direttamente esposto e procedure di gestione degli incidenti. La sicurezza dipende anche dalle configurazioni del server, dall’uso di HTTPS, dai backup e dai comportamenti degli utenti.
10. Diritti degli interessati
Nei casi previsti, l’interessato può chiedere accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e revoca del consenso, senza pregiudicare la liceità del trattamento precedente. Le richieste vanno inviate a dpo@uese.it, indicando informazioni sufficienti a verificare l’identità e individuare il trattamento.
Per dati inseriti da un Cliente quale Titolare, la richiesta deve essere rivolta anzitutto al Cliente; UESE ITALIA S.p.A. lo assisterà secondo l’Accordo sul trattamento dei dati.
11. Reclamo e tutela
L’interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali o all’autorità di controllo competente e di adire le sedi giudiziarie previste dalla legge.
12. Modifiche dell’informativa
La presente informativa può essere aggiornata per evoluzioni normative, organizzative o tecnologiche. Le modifiche sostanziali saranno comunicate attraverso la piattaforma o i recapiti dell’account quando incidono in modo significativo sui trattamenti.