Informativa sulla privacy

In vigore dal: 29. 5. 2026  |  Versione: 2.0

IRNAS Technologies d.o.o. (di seguito: IRNAS, il titolare del trattamento) in qualità di titolare del trattamento dei dati personali rispetta la vostra privacy e si impegna a garantire un trattamento lecito, equo e trasparente dei vostri dati personali in conformità al Regolamento (UE) 2016/679 (GDPR) e alla Legge slovena sulla protezione dei dati personali (ZVOP-2).

1. Titolare del trattamento dei dati personali

Denominazione	IRNAS Technologies d.o.o.
Indirizzo	Sokolska ulica 51, 2000 Maribor, Slovenia
Partita IVA	SI78993857
Email per la privacy	tech@irnas.eu
Sito web	tech.irnas.eu

2. Quali dati personali raccogliamo

2.1 Modulo di contatto

Quando compilate il modulo di contatto sul nostro sito web, raccogliamo i seguenti dati:

• nome e cognome,
• indirizzo email,
• contenuto della vostra richiesta o messaggio,
• ora di invio del modulo,
• indirizzo IP (per la protezione contro gli abusi).

2.2 Account utente (pannello di controllo)

Per gli utenti registrati del pannello di controllo trattiamo:

• nome e cognome,
• indirizzo email,
• password con hash (memorizzata in formato sicuro unidirezionale bcrypt),
• nome dell'organizzazione,
• ruolo nel sistema (amministratore, utente standard),
• preferenze linguistiche,
• data di registrazione, ultimo accesso e ultima modifica.

2.3 Dati dei dispositivi SOS Točka

Nell'ambito del funzionamento del sistema SOS Točka, trattiamo i dati trasmessi dai dispositivi attraverso la rete:

• numero di serie e identificativo del dispositivo,
• coordinate GPS della posizione del dispositivo,
• ora e tipo dei messaggi ricevuti,
• informazioni sullo stato del dispositivo (raggiungibilità, livello della batteria, ecc.),
• dati di emergenza (quando il dispositivo viene attivato in caso di emergenza),
• numeri di telefono e indirizzi email dei contatti per le notifiche (memorizzati in forma crittografata).

Questi dati costituiscono dati aziendali delle organizzazioni abbonate e non contengono direttamente dati personali degli utenti finali, salvo nel caso di messaggi di emergenza inoltrati ai servizi di soccorso (112, 113) in conformità alla legislazione vigente.

2.4 Registro di audit

Per garantire la sicurezza e la conformità, registriamo le attività degli utenti rilevanti per la sicurezza:

• tipo di azione (accesso, modifica delle impostazioni, modifica dei dispositivi, ecc.),
• indirizzo IP e identificativo del browser,
• ora dell'azione.

2.5 Cookie e dati di navigazione

I dettagli sui cookie sono disponibili nella nostra Informativa sui cookie.

3. Finalità e base giuridica del trattamento

Finalità	Dati	Base giuridica (GDPR)
Risposta alle richieste tramite il modulo di contatto	Nome, email, contenuto del messaggio	Interesse legittimo (art. 6(1)(f)) o misure precontrattuali (art. 6(1)(b))
Gestione degli account utente del pannello di controllo	Dati di registrazione	Contratto / misure precontrattuali (art. 6(1)(b))
Funzionamento del sistema SOS Točka (ricezione dati dei dispositivi)	Dati dei dispositivi e delle posizioni	Interesse legittimo (art. 6(1)(f)); per i dati di emergenza: tutela degli interessi vitali (art. 6(1)(d))
Inoltro dei messaggi ai servizi di soccorso	Messaggi dai dispositivi, posizione	Tutela degli interessi vitali (art. 6(1)(d)), adempimento di obblighi legali (art. 6(1)(c))
Notifica ai contatti del dispositivo (SMS, email)	Numero di telefono, indirizzo email, contenuto della notifica	Contratto (art. 6(1)(b)) — configurato dall'amministratore del dispositivo
Sicurezza del sistema e prevenzione degli abusi	Registri, indirizzi IP, registro di audit	Interesse legittimo (art. 6(1)(f))
Fatturazione e gestione degli abbonamenti	Dati di abbonamento, riferimenti di pagamento	Contratto (art. 6(1)(b)), obblighi legali per la conservazione dei documenti contabili (art. 6(1)(c))

4. Periodi di conservazione

• Modulo di contatto: i messaggi vengono conservati per un massimo di 2 anni dalla ricezione, dopo di che vengono automaticamente cancellati.
• Account utente: i dati vengono conservati finché l'account è attivo; dopo la cancellazione dell'account, i dati vengono anonimizzati entro 30 giorni, salvo che la legge richieda una conservazione più lunga.
• Dati dei dispositivi (messaggi, eventi): conservati in conformità al piano di abbonamento (90 giorni per impostazione predefinita, fino a 365 giorni con estensione); dopo la scadenza, i dati vengono automaticamente cancellati.
• Registri SMS: conservati per 2 anni ai fini della prova della consegna dei messaggi di emergenza.
• Registro di audit: conservato per un massimo di 2 anni.
• Registri di sicurezza (server): conservati per un massimo di 6 mesi.
• Tentativi di accesso non riusciti: i record scadono dopo 15 minuti (periodo di blocco).
• Documenti contabili: 10 anni in conformità alla legislazione (ZGD-1).

5. Destinatari e comunicazione dei dati

I vostri dati personali non vengono venduti a terzi. Comunichiamo i dati solo a:

• Responsabili del trattamento (fornitori di hosting e servizi IT) che agiscono esclusivamente secondo le nostre istruzioni e sono vincolati da un accordo per il trattamento dei dati (DPA);
• Blues Inc. (Notehub) — piattaforma per il trasferimento dei dati dai dispositivi (responsabile del trattamento negli USA; il trasferimento si basa sull'EU-US Data Privacy Framework (DPF) e su clausole contrattuali tipo supplementari ai sensi dell'art. 46(2)(c) GDPR);
• A1 Slovenija d.d. — invio di SMS tramite il gateway MGW3 (responsabile del trattamento in Slovenia; nessun trasferimento al di fuori dell'UE/SEE);
• Google LLC (reCAPTCHA) — protezione del modulo di contatto contro gli abusi (responsabile del trattamento negli USA; trasferimento sulla base del DPF);
• Servizi di soccorso (112, 113) — esclusivamente nei casi di attivazione del dispositivo in emergenza, sulla base della tutela degli interessi vitali;
• Autorità statali competenti — quando richiesto dalla legge.

Un elenco completo dei responsabili del trattamento e dei meccanismi di trasferimento è disponibile nel nostro registro interno dei responsabili. Per una copia, contattare tech@irnas.eu.

6. Trasferimenti di dati al di fuori dell'UE/SEE

Alcuni responsabili del trattamento hanno sede negli Stati Uniti d'America. Per tali trasferimenti, garantiamo garanzie adeguate in conformità al Capo V del GDPR:

• EU-US Data Privacy Framework (DPF) — quando il responsabile del trattamento è certificato ai sensi del DPF (decisione di adeguatezza della Commissione europea del 10. 7. 2023, decisione (UE) 2023/1795);
• Clausole contrattuali tipo (SCC) — in conformità alla decisione della Commissione (UE) 2021/914 ai sensi dell'art. 46(2)(c) GDPR, quando il DPF non è applicabile.

Copie delle garanzie pertinenti sono disponibili su richiesta presso il titolare del trattamento.

7. Diritti degli interessati

Ai sensi del GDPR, avete i seguenti diritti riguardo ai vostri dati personali:

• Diritto di accesso (art. 15): ottenere la conferma dell'esistenza di un trattamento dei vostri dati e una copia degli stessi. Gli utenti registrati possono esportare i propri dati direttamente dal pannello di controllo (Profilo → Dati e privacy → Esportazione dati).
• Diritto di rettifica (art. 16): richiedere la correzione di dati inesatti o il completamento di dati incompleti. I dati di base (nome, cognome) possono essere modificati direttamente nel pannello di controllo.
• Diritto alla cancellazione (art. 17): in determinati casi, richiedere la cancellazione dei vostri dati. Gli utenti registrati possono eliminare il proprio account dal pannello di controllo (Profilo → Dati e privacy → Cancella account). I dati vengono anonimizzati; dopo la scadenza dei periodi di conservazione previsti dalla legge, vengono definitivamente cancellati.
• Diritto alla limitazione del trattamento (art. 18): richiedere la limitazione del trattamento in determinati casi. Nel pannello di controllo potete attivare la limitazione del trattamento (Profilo → Dati e privacy → Limita trattamento), che sospende le operazioni di trattamento non essenziali mentre il vostro account rimane attivo.
• Diritto alla portabilità dei dati (art. 20): ricevere i vostri dati in un formato leggibile da una macchina (JSON). L'esportazione include: profilo, dati dell'organizzazione, dispositivi, contatti, registri SMS, consegne webhook e registro di audit.
• Diritto di opposizione (art. 21): opporsi al trattamento basato sull'interesse legittimo. Nel pannello di controllo potete opporvi al trattamento non essenziale (Profilo → Dati e privacy → Opposizione al trattamento), che disabilita automaticamente i webhook e l'accesso API per il vostro account.
• Diritto di revocare il consenso: quando il trattamento è basato sul consenso, potete revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Per esercitare i vostri diritti, inviate una richiesta a tech@irnas.eu. Risponderemo entro 30 giorni dal ricevimento della richiesta. Il termine può essere prorogato di ulteriori 2 mesi per richieste complesse, di cui vi informeremo preventivamente.

8. Reclamo all'autorità di controllo

Se ritenete che i vostri diritti non siano stati rispettati, avete il diritto di presentare un reclamo al Commissario per l'informazione della Repubblica di Slovenia (Informacijski pooblaščenec RS):

• Sito web: www.ip-rs.si
• Email: gp.ip@ip-rs.si
• Telefono: +386 1 230 97 30

Per gli interessati residenti in Italia, è possibile presentare reclamo anche al Garante per la protezione dei dati personali:

• Sito web: www.garanteprivacy.it
• Email: garante@gpdp.it
• PEC: protocollo@pec.gpdp.it

9. Sicurezza dei dati

Adottiamo misure tecniche e organizzative adeguate per proteggere i vostri dati personali contro accessi non autorizzati, perdita o distruzione, tra cui:

• trasmissione crittografata dei dati (TLS/HTTPS su tutti i canali),
• hashing unidirezionale delle password (bcrypt),
• crittografia dei dati personali sensibili nel database (AES-256-GCM per numeri di telefono e indirizzi email dei contatti),
• limitazione dell'accesso ai dati secondo il principio del privilegio minimo (RBAC),
• registro di audit di tutte le azioni rilevanti per la sicurezza,
• limitazione della frequenza di accesso (rate limiting) per la prevenzione degli attacchi brute-force,
• verifica delle password contro violazioni di dati note (HIBP k-anonimizzazione),
• analisi statica regolare del codice e revisione delle dipendenze nel processo CI/CD,
• intestazioni di sicurezza HTTP (HSTS, CSP, X-Frame-Options, X-Content-Type-Options).

10. Processo decisionale automatizzato

Il sistema SOS Točka non effettua processi decisionali automatizzati, inclusa la profilazione, che producano effetti giuridici o similmente significativi sugli interessati (art. 22 GDPR).

11. Modifiche all'informativa sulla privacy

La presente informativa sulla privacy può essere aggiornata periodicamente. In caso di modifiche sostanziali, vi informeremo tramite il sito web o via email. La data dell'ultimo aggiornamento è indicata in cima al presente documento.

Cronologia delle modifiche

Versione	Data	Descrizione delle modifiche
1.0	1. 4. 2025	Prima pubblicazione
2.0	29. 5. 2026	Aggiornata: meccanismi per l'esercizio dei diritti (esportazione, limitazione, opposizione, cancellazione); trasferimenti al di fuori dell'UE/SEE; responsabili del trattamento; crittografia; periodi di conservazione; fatturazione

12. Contatti

Per qualsiasi domanda relativa al trattamento dei vostri dati personali, contattateci:

• Email: tech@irnas.eu
• Posta: IRNAS Technologies d.o.o., Sokolska ulica 51, 2000 Maribor, Slovenia