In questa sezione sono riportate le Condizioni Speciali di Trattamento dei Dati Personali relative ai servizi forniti da DTECH S.r.l., in qualità di Responsabile del Trattamento ai sensi dell’articolo 28 del GDPR, nell’ambito della suite Nuvolai.
Le presenti condizioni costituiscono parte integrante e sostanziale dell’Accordo Principale per il Trattamento dei Dati Personali (MDPA), allegato ai contratti SaaS stipulati con i Clienti, e si applicano specificamente a ciascun servizio erogato tramite le soluzioni:

• Nuvolai ERP
• Nuvolai EMS
• Nuvolai CMS

Tali informazioni sono fornite nel rispetto dei principi di trasparenza e accountability previsti dalla normativa sulla protezione dei dati personali e sono aggiornate periodicamente per riflettere l’evoluzione dei trattamenti e dei servizi.

1. Nuvolai ERP (Enterprise Resource Planning) – Gestionale Aziendale

1.1. Finalità del trattamento

a. Gestione amministrativa, contabile e fiscale dell’azienda cliente;

b. Gestione di fornitori, clienti, documenti commerciali, preventivi, fatturazioni;

c. Analisi delle performance aziendali.

1.2. Categorie di dati trattati

a. Dati identificativi (nome, cognome, email, telefono, ruolo);

b. Dati aziendali (partita IVA, sede, contabilità);

c. Dati economici e finanziari;

d. Dati relativi a dipendenti/fornitori inseriti nel sistema.

1.3. Base giuridica

a. Esecuzione del contratto di servizio (art. 6.1.b GDPR);

b. Obblighi legali (art. 6.1.c GDPR).

1.4. Conservazione

a. I dati sono conservati per tutta la durata del contratto e per 12 mesi successivi alla cessazione, salvo obblighi di legge.

1.5. Sub-responsabili coinvolti

a. Google Cloud Platform;

b. Google Analytics;

c. Brevo;

d. altri fornitori comunicati al Cliente su richiesta.

2. Nuvolai EMS (E-commerce Management System) – Gestionale per E-commerce

2.1. Finalità del trattamento:

a. Gestione delle vendite online e dei dati di clienti finali;

b. Elaborazione ordini, spedizioni, pagamenti;

c. Analisi delle performance commerciali.

2.2. Categorie di dati trattati:

a. Dati di clienti finali (nome, email, indirizzo, storico ordini);

b. Dati identificativi del personale cliente;

c. Dati di pagamento (in forma pseudonimizzata);

d. Dati comportamentali.

2.3. Base Giuridica:

a. Esecuzione del contratto (6.1.b);

b. Legittimo interesse per statistiche (6.1.f);

c. Consenso per marketing (ove richiesto, 6.1.a).

2.4. Conservazione:

a. I dati dei clienti finali sono conservati per il tempo necessario alla finalità contrattuale.

b. I log di accesso e utilizzo sono conservati per 6 mesi.

2.5. Sub-responsabili coinvolti:

a. Google Cloud Platform

b. Google Analytics

c. Brevo 

d. altri fornitori comunicati al Cliente su richiesta.

3. Nuvolai CMS (Content Management System) - PageBuilder per la creazione di siti vetrina

3.1. Finalità del trattamento:

a. Pubblicazione e gestione contenuti web;

b. Raccolta dati tramite moduli web (es. contatti, newsletter).

3.2. Categorie di dati trattati:

a. Dati di contatto di visitatori (email, nome, IP);

b. Dati editoriali inseriti dal Cliente;

c. Dati identificativi del personale cliente.

3.3 Base giuridica:

a. Consenso degli interessati (moduli contatto – art. 6.1.a);

b. Esecuzione del contratto (art. 6.1.b).

3.4. Conservazione:

a. I dati raccolti tramite i moduli sono conservati fino a cancellazione da parte del Cliente o per max 24 mesi.

b. I backup dei contenuti sono conservati per 6 mesi.

3.5. Sub-responsabili coinvolti:

a. Google Cloud Platform

b. Brevo

c. altri fornitori comunicati al Cliente su richiesta.

4. Luogo del trattamento 
Paesi UE. 
Eventuali trasferimenti extra-SEE avvengono secondo le Clausole Contrattuali Standard o Decisioni di Adeguatezza (art. 46-47 GDPR).

5. Misure di Sicurezza
DTECH S.r.l., in qualità di Responsabile del Trattamento dei dati personali per conto dei propri clienti, adotta un insieme di misure tecniche e organizzative conformi all’articolo 32 del Regolamento (UE) 2016/679 (GDPR), adeguate a garantire un livello di sicurezza proporzionato al rischio, in base alla natura dei dati trattati e alle caratteristiche dei servizi offerti.

5.1. Misure Organizzative

a. Policy aziendali interne: il personale incaricato del trattamento dei dati è soggetto a policy di riservatezza, sicurezza e condotta, nonché a formazione periodica.

b. Controllo degli accessi logici: i profili utente sono configurati secondo il principio del minimo privilegio, e verificati regolarmente.

c. Gestione interventi di assistenza: gli interventi tecnici sono tracciati e svolti solo da personale autorizzato, nel rispetto della minimizzazione dei dati.

d. Tracciamento e logging: le operazioni sui sistemi sono soggette a log per finalità di sicurezza e audit interni.

e. Gestione delle violazioni: esiste una procedura interna strutturata per la gestione degli incidenti di sicurezza e per la notifica dei data breach.

5.2. Misure Tecniche

a. Crittografia dei dati: i dati personali sono cifrati sia in transito sia, ove applicabile, a riposo.

b. Backup regolari: sono previsti backup automatici dei dati e dei contenuti, con conservazione fino a 6 mesi, per garantire la continuità operativa.

c. Resilienza dei sistemi: l’infrastruttura cloud garantisce l’alta disponibilità e la ridondanza geografica, grazie alla piattaforma Google Cloud.

d. Protezione da malware e accessi non autorizzati: firewall, antivirus e sistemi di rilevamento delle intrusioni sono attivi nei nostri ambienti cloud.

e. Isolamento ambienti cliente: i dati dei clienti sono logicamente separati in ambienti dedicati o virtualizzati, per evitare commistioni accidentali.

5.3. Infrastruttura

I software Nuvolai (ERP, EMS, CMS) sono erogati in modalità SaaS su Google Cloud Platform, provider conforme agli standard di sicurezza ISO/IEC 27001, ISO/IEC 27018 e ai requisiti di conformità del GDPR.