UESE ISO 50001 AI
Privacy Cookie Termini Trasparenza AI Accedi Prova 15 giorni
Protezione dei dati personali

Informativa privacy

Informativa resa ai sensi degli articoli 12, 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) agli utenti del sito e della piattaforma SaaS UESE ISO 50001 AI.

Versione 1.1Aggiornata al 17 luglio 2026
Indice 1. Titolare e contatti2. Ruoli privacy3. Dati trattati4. Finalità e basi giuridiche5. Funzioni AI6. Destinatari e fornitori7. Trasferimenti8. Conservazione9. Sicurezza10. Diritti11. Reclami12. Aggiornamenti

1. Titolare del trattamento e contatti

Per i trattamenti relativi al sito pubblico, alla registrazione degli account, alla gestione commerciale e contrattuale, alla fatturazione, all’assistenza, alla sicurezza della piattaforma e agli adempimenti amministrativi, il Titolare del trattamento è:

UESE ITALIA S.p.A.
Sede legale: Piazza Trivulziana 4/A, 20126 Milano (MI), Italia
P. IVA / C.F.: IT04398760274 / 04398760274
PEC: unitedsafety@pec.it
Email privacy: dpo@uese.it
Telefono: +39 02 5656 8416

Responsabile della protezione dei dati (DPO/RPD): contattabile all’indirizzo dpo@uese.it.

2. Distinzione dei ruoli privacy

Quando il Cliente utilizza la piattaforma per caricare documenti, dati energetici, nominativi, recapiti, informazioni contrattuali o altre informazioni riferibili a persone fisiche nell’ambito della propria organizzazione, il Cliente determina finalità e contenuti del trattamento e opera, di regola, quale Titolare del trattamento. UESE ITALIA S.p.A. tratta tali dati per erogare il servizio in qualità di Responsabile del trattamento, secondo l’Accordo sul trattamento dei dati.

Resta responsabilità del Cliente verificare la liceità dei dati caricati, fornire le informative necessarie, impartire istruzioni adeguate agli utenti autorizzati e non inserire dati eccedenti rispetto alle finalità perseguite.

3. Categorie di dati trattati

  • Dati identificativi e di contatto: nome, cognome, ragione sociale, ruolo, email, telefono, dati fiscali e aziendali.
  • Dati di account e sicurezza: credenziali in forma cifrata o hash, segreti 2FA cifrati, indirizzi IP, data e ora degli accessi, eventi di sicurezza, log applicativi e audit trail.
  • Dati contrattuali e di pagamento: piano, stato dell’abbonamento, ordini, bonifici, identificativi delle transazioni. I dati completi delle carte sono trattati direttamente dal prestatore di pagamento e non vengono memorizzati dalla piattaforma.
  • Contenuti del Cliente: bollette, contratti, fatture, consumi, POD/PDR, dati di siti e contatori, documenti del Sistema di Gestione dell’Energia, note, evidenze e output approvati.
  • Dati di assistenza: richieste, comunicazioni, allegati, diagnosi tecniche e informazioni necessarie alla risoluzione dei problemi.
  • Dati di navigazione: informazioni tecniche trasmesse dal browser e cookie strettamente necessari descritti nella Cookie policy.

La piattaforma non è progettata per trattare sistematicamente categorie particolari di dati di cui all’articolo 9 GDPR, dati giudiziari o dati relativi a minori. Il Cliente deve evitare di caricarli salvo che ciò sia strettamente necessario, lecito, documentato e autorizzato.

4. Finalità, basi giuridiche e natura del conferimento

FinalitàBase giuridicaConferimento
Registrazione, prova gratuita, autenticazione 2FA e gestione dell’accountEsecuzione di misure precontrattuali e del contratto; legittimo interesse alla sicurezzaNecessario per usare il servizio
Erogazione del SaaS, archiviazione, elaborazione documentale, assistenza e gestione operativaEsecuzione del contratto; per i Contenuti del Cliente, istruzioni del Titolare ai sensi dell’art. 28 GDPRNecessario per le funzioni richieste
Pagamenti, fatturazione, contabilità, gestione insoluti e difesa dei dirittiContratto, obbligo legale e legittimo interesseNecessario per l’abbonamento
Prevenzione abusi, controllo accessi, logging, continuità e sicurezzaLegittimo interesse e obblighi di sicurezza ex artt. 5, 24, 25 e 32 GDPRNecessario
Comunicazioni di servizio, scadenze, sicurezza e modifiche contrattualiEsecuzione del contratto e legittimo interesseNecessario
Comunicazioni promozionali non strettamente connesse al servizioConsenso, quando richiestoFacoltativo e revocabile

5. Trattamenti con funzioni di intelligenza artificiale

Le funzioni AI si attivano quando l’utente richiede analisi, estrazione, classificazione, generazione o assistenza. In tali casi, il testo, le immagini o i documenti strettamente necessari possono essere trasmessi al fornitore AI configurato, attualmente indicato come OpenAI Ireland Ltd., per produrre l’output richiesto.

Gli output sono proposte assistive: non producono decisioni giuridiche o effetti analogamente significativi in modo esclusivamente automatizzato. La piattaforma richiede la verifica e, ove previsto, la validazione umana prima dell’aggiornamento del database o dell’utilizzo documentale. Ulteriori informazioni sono disponibili nella pagina Trasparenza e uso responsabile dell’AI.

Gli utenti devono applicare minimizzazione e pseudonimizzazione, evitando di inviare all’AI dati personali non necessari, segreti industriali non pertinenti o informazioni soggette a particolari vincoli di riservatezza.

6. Destinatari, responsabili e sub-responsabili

I dati possono essere trattati da personale autorizzato e da fornitori selezionati per hosting, manutenzione, posta elettronica, assistenza, pagamenti e servizi AI. In funzione delle configurazioni attive, possono rientrare tra i fornitori:

  • Hosting: fornitore di hosting configurato dal Titolare, con ubicazione dichiarata Unione europea o Spazio Economico Europeo, salvo diversa configurazione documentata.
  • AI: OpenAI Ireland Ltd., limitatamente alle richieste AI attivate dall’utente.
  • Pagamenti: Stripe Payments Europe, Limited, per checkout, abbonamenti e antifrode.
  • Posta elettronica: fornitore di posta elettronica configurato dal Titolare, per comunicazioni di servizio e recupero credenziali.
  • Consulenti e autorità: professionisti, revisori, autorità o soggetti legittimati nei limiti necessari per obblighi di legge, tutela dei diritti o gestione di incidenti.

L’elenco operativo dei sub-responsabili applicabili al Cliente può essere richiesto al contatto privacy.

7. Trasferimenti verso Paesi terzi

Qualora un fornitore tratti dati fuori dallo Spazio Economico Europeo, il trasferimento avviene sulla base di una decisione di adeguatezza, delle Clausole Contrattuali Standard della Commissione europea o di altro meccanismo previsto dagli articoli 44–49 GDPR, accompagnato, ove necessario, da valutazioni e misure supplementari. Il Cliente deve considerare tali trasferimenti nella propria valutazione privacy quando utilizza le funzioni AI o altri servizi esterni configurati.

8. Periodi di conservazione

CategoriaCriterio indicativo
Account, contratto e fatturazionePer la durata del rapporto e, per i dati amministrativo-contabili, fino a 10 anni o per il diverso termine imposto dalla legge.
Contenuti del ClientePer la durata dell’account e secondo le istruzioni del Cliente; dopo la cessazione, per il tempo tecnico necessario a esportazione, cancellazione e rotazione delle copie di sicurezza.
Prove gratuite non convertitePer il periodo necessario a gestire la prova e le richieste dell’utente; gli account inattivi possono essere eliminati o anonimizzati secondo le procedure interne e gli obblighi di tutela.
Log di accesso e sicurezzaPer un periodo proporzionato alle finalità di sicurezza, audit e difesa; gli accessi degli amministratori di sistema sono conservati secondo le regole applicabili.
Richieste di assistenzaPer il tempo necessario alla gestione e successivamente per esigenze di qualità, sicurezza e tutela dei diritti.
Token di recupero passwordScadono dopo 60 minuti e vengono marcati come utilizzati dopo il cambio password.

I termini possono essere estesi in presenza di contestazioni, obblighi legali, richieste dell’autorità o necessità di accertare, esercitare o difendere un diritto.

9. Misure di sicurezza

Sono adottate misure tecniche e organizzative proporzionate al rischio, tra cui separazione logica dei tenant, controllo degli accessi per ruolo, autenticazione a due fattori, hashing delle password, cifratura dei segreti applicativi, protezione CSRF, audit log, tracciamento degli eventi, limitazione dei tentativi, storage non direttamente esposto e procedure di gestione degli incidenti. La sicurezza dipende anche dalle configurazioni del server, dall’uso di HTTPS, dai backup e dai comportamenti degli utenti.

10. Diritti degli interessati

Nei casi previsti, l’interessato può chiedere accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e revoca del consenso, senza pregiudicare la liceità del trattamento precedente. Le richieste vanno inviate a dpo@uese.it, indicando informazioni sufficienti a verificare l’identità e individuare il trattamento.

Per dati inseriti da un Cliente quale Titolare, la richiesta deve essere rivolta anzitutto al Cliente; UESE ITALIA S.p.A. lo assisterà secondo l’Accordo sul trattamento dei dati.

11. Reclamo e tutela

L’interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali o all’autorità di controllo competente e di adire le sedi giudiziarie previste dalla legge.

12. Modifiche dell’informativa

La presente informativa può essere aggiornata per evoluzioni normative, organizzative o tecnologiche. Le modifiche sostanziali saranno comunicate attraverso la piattaforma o i recapiti dell’account quando incidono in modo significativo sui trattamenti.

UESE ITALIA S.p.A. Piazza Trivulziana 4/A, 20126 Milano (MI), Italia P. IVA IT04398760274 · REA MI 2679515 · Capitale sociale € 1.145.000 i.v.
Privacy Cookie Termini SaaS DPA Trasparenza AI Note legali Accessibilità