Informativa sulla privacy
Resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
e del D.Lgs. 196/2003 e successive modifiche (Codice in materia di protezione
dei dati personali, come modificato dal D.Lgs. 101/2018).
Ultimo aggiornamento: 5 giugno 2026 · Versione 2.3
1. Titolare del trattamento
Il Titolare del trattamento è FISIT S.r.l., società di diritto italiano con sede legale in Italia, P.IVA e Codice Fiscale IT 02602500221.
Per qualunque comunicazione relativa al trattamento dei propri dati personali:
- Email privacy: [email protected]
- Email generale: [email protected]
2. Responsabile della Protezione dei Dati (DPO)
Il Titolare non ha designato un DPO ai sensi dell'art. 37 GDPR, non rientrando nelle ipotesi di obbligo previste dal Regolamento. Tuttavia, dato che il Servizio può consentire ai propri utenti il trattamento di dati di salute (moduli FSE, PAI, RSA), la cooperativa cliente che attiva tali moduli può essere tenuta a sua volta a designare un proprio DPO ai sensi dell'art. 37.1.c GDPR. Per richieste privacy scrivere a [email protected].
3. Ruolo del Titolare nei diversi flussi di dati
Il rapporto tra FISIT e la cooperativa cliente si articola su due livelli:
- FISIT come Titolare autonomo per i dati raccolti dalla cooperativa stessa al momento della registrazione, della fatturazione del canone e della gestione tecnica del Servizio (anagrafica cooperativa, contatti dell'utente admin, log di accesso, dati di pagamento).
- FISIT come Responsabile del trattamento (art. 28 GDPR) per i dati che la cooperativa cliente inserisce nella piattaforma riguardanti soci, dipendenti, assistiti, ospiti, donatori, contatti terzi: in questo caso il Titolare è la cooperativa, FISIT esegue le sue istruzioni. Le condizioni del rapporto sono definite nell'addendum DPA disponibile su richiesta a [email protected].
4. Categorie di dati trattati
4.1 Dati di registrazione e contatto della cooperativa
- Ragione sociale, P.IVA, codice fiscale, sede legale, codice destinatario SDI, PEC
- Nome, cognome, email, telefono dell'utente amministratore
- Credenziali di accesso (password protetta tramite hashing irreversibile bcrypt)
4.2 Dati di utilizzo della piattaforma
- Log di accesso (indirizzo IP, user-agent, timestamp) per finalità di sicurezza
- Audit log (chi modifica cosa, quando) per tracciabilità contabile
- Preferenze e impostazioni dell'account
4.3 Dati inseriti dalla cooperativa nella piattaforma
- Anagrafica soci e quote sociali (L.142/2001)
- Anagrafica dipendenti, collaboratori, contratti, presenze
- Documenti fiscali (fatture, prima nota, bilanci, registri IVA, libro giornale)
- Dati anagrafici di clienti, fornitori, donatori
Per questi dati la cooperativa è Titolare autonomo; FISIT è Responsabile del trattamento (art. 28 GDPR), opera secondo le istruzioni del Titolare, ed è soggetto a obblighi di riservatezza e sicurezza.
4.4 Categorie particolari di dati (art. 9 GDPR) — moduli sanitari opzionali
Alcuni moduli verticali opzionali (Fascicolo Socio-Assistenziale FSA-E, PAI, RSA/CDI Anziani, Migranti) consentono il trattamento di dati relativi alla salute (anamnesi, patologie, terapie, allergie, livello di autosufficienza, indici di valutazione SVAMA/BINA/AGED, scale Barthel/IADL/Braden/MMSE/Tinetti, diario assistenziale OSS/infermiere, Piano Assistenziale Individualizzato).
Questi dati appartengono alle "categorie particolari" di cui all'art. 9 GDPR e sono trattabili solo in presenza di una delle basi giuridiche di cui all'art. 9.2 GDPR. Tipicamente per le cooperative socio-sanitarie ricorrono:
- Art. 9.2.b: assolvimento di obblighi e diritti specifici in materia di diritto del lavoro e della sicurezza sociale (D.Lgs.117/2017 ETS, L.328/2000 Welfare, convenzioni con ASL).
- Art. 9.2.h: finalità di medicina preventiva, diagnosi, assistenza sanitaria o sociale, gestione di sistemi di assistenza sanitaria sulla base del diritto dell'Unione o dello Stato membro o conformemente al contratto con un professionista sanitario.
FISIT, in qualità di Responsabile, garantisce su questi dati le misure rafforzate previste dall'art. 9.3 GDPR e dall'art. 75 D.Lgs.196/2003: crittografia AES-256 a riposo, accesso strettamente controllato, audit log immutabile su ogni accesso ai dati sanitari, isolamento per tenant.
La cooperativa che attiva moduli sanitari resta titolare e responsabile della raccolta del consenso degli interessati (assistiti / ospiti) ove non sussista una base giuridica diversa dal consenso. FISIT mette a disposizione campi di tracciamento del consenso ma non si sostituisce alla cooperativa nella gestione di questa attività.
4.5 Dati di pagamento
- I dati della carta di credito sono trattati direttamente dal processore di pagamento Revolut e non vengono memorizzati sui server del Titolare. Si conserva solo l'identificativo della transazione Revolut e l'importo.
5. Finalità del trattamento e basi giuridiche
| Finalità | Base giuridica |
|---|---|
| Erogazione del Servizio CoopSuite, gestione dell'account | Esecuzione del contratto (art. 6.1.b GDPR) |
| Fatturazione del canone, gestione amministrativa | Obbligo di legge (art. 6.1.c GDPR — normativa fiscale) |
| Sicurezza informatica, prevenzione frodi, log di accesso | Legittimo interesse del Titolare (art. 6.1.f GDPR) |
| Comunicazioni di servizio (manutenzioni, modifiche, scadenze) | Esecuzione del contratto (art. 6.1.b GDPR) |
| Newsletter, comunicazioni promozionali | Consenso esplicito (art. 6.1.a GDPR), revocabile |
| Analisi statistica anonima del traffico web | Consenso (art. 6.1.a GDPR — banner cookie) |
| Trattamento di dati sanitari nei moduli FSA-E/PAI/RSA/CDI (per conto della cooperativa cliente) | Art. 9.2.b/h GDPR + DPA con la cooperativa Titolare |
6. Destinatari dei dati — Responsabili del trattamento esterni
Il Titolare si avvale dei seguenti fornitori, designati ai sensi dell'art. 28 GDPR come Responsabili del trattamento esterni:
- Hetzner Online GmbH (Germania, UE) — hosting dei server applicativi e database. Datacenter: Falkenstein / Norimberga. Dati conservati nell'Unione Europea.
- Cloudflare, Inc. (USA) — CDN, protezione DDoS, certificato SSL origin. Trasferimento extra-UE basato su Standard Contractual Clauses (Decisione 2021/914/UE) integrate da misure tecniche supplementari.
- Postmark (Wildbit LLC, USA — gruppo ActiveCampaign) — invio email transazionali (conferme, recupero password, notifiche di servizio, invio fatture al cliente). Trasferimento extra-UE basato su Standard Contractual Clauses (Decisione 2021/914/UE) integrate da misure tecniche supplementari.
- Revolut Bank UAB (Lituania, UE) — gestione pagamenti del canone di abbonamento.
- FatturaElettronicaAPI — Easyfast S.r.l. (Italia) — intermediario tecnico per la trasmissione/ricezione di fatture elettroniche al Sistema di Interscambio (SDI) dell'Agenzia delle Entrate.
- Google LLC (USA) — Google Analytics 4, attivo solo previo consenso dell'utente. IP anonimizzato. Trasferimento extra-UE basato su Standard Contractual Clauses.
Ciascun Responsabile esterno tratta i dati esclusivamente per le finalità previste dal contratto, secondo le istruzioni del Titolare, garantendo misure di sicurezza adeguate (art. 32 GDPR).
I dati possono inoltre essere comunicati ad autorità pubbliche (Agenzia delle Entrate, RUNTS, Ministero del Lavoro, Autorità giudiziaria) ove richiesto dalla legge, e a consulenti professionali del Titolare per esigenze amministrative o di difesa in giudizio.
Il Titolare non vende, non cede e non comunica a terzi i dati personali per finalità commerciali di soggetti diversi.
7. Trasferimento dei dati extra-UE
I dati personali sono memorizzati su server situati nell'Unione Europea (Germania). Eventuali trasferimenti verso paesi terzi (servizi USA come Cloudflare, Postmark per l'invio email e Google Analytics) avvengono nel rispetto delle garanzie del Capo V GDPR: decisioni di adeguatezza della Commissione (UE-US Data Privacy Framework) oppure Standard Contractual Clauses (Decisione 2021/914/UE), integrate da misure supplementari.
I dati sanitari NON vengono mai trasferiti extra-UE. Hosting, backup e replicazione restano sempre in territorio UE.
8. Periodi di conservazione
| Categoria | Durata |
|---|---|
| Dati account attivi | Per tutta la durata del rapporto contrattuale |
| Dati account dopo disdetta | 30 giorni, poi cancellazione (salvo obblighi) |
| Documenti fiscali (fatture, prima nota, bilanci) | 10 anni (art. 2220 c.c. e DPR 600/73) |
| Libro soci, libro assemblee | Permanente (art. 2421 c.c.) |
| Dati sanitari (FSE, PAI, scale, diario) | Secondo prescrizioni regionali RSA/ADI (tipicamente 30 anni per cartella clinica) |
| Log di accesso e audit log | 12 mesi (Provv. Garante 27/11/2008 amministratori di sistema) |
| Email transazionali inviate | 24 mesi |
| Backup cifrati | 90 giorni rolling (poi sovrascritti) |
| Dati per esigenze di difesa in giudizio | Fino al termine prescrizionale (10 anni) |
9. Diritti dell'interessato
L'interessato può esercitare i seguenti diritti previsti dagli artt. 15-22 GDPR:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei propri dati;
- Rettifica (art. 16): correggere dati inesatti;
- Cancellazione — "diritto all'oblio" (art. 17), nei casi previsti;
- Limitazione del trattamento (art. 18);
- Portabilità (art. 20): ricevere i propri dati in formato strutturato (JSON, CSV);
- Opposizione (art. 21);
- Revoca del consenso (art. 7.3);
- Non essere sottoposti a decisioni basate unicamente sul trattamento automatizzato (art. 22): il Titolare non effettua profilazione né decisioni automatizzate con effetti giuridici sull'utente.
Soci, assistiti, ospiti, donatori, dipendenti della cooperativa cliente esercitano i propri diritti direttamente verso la cooperativa Titolare; FISIT supporta come Responsabile.
Per richieste relative a dati di cui FISIT è Titolare scrivere a [email protected] allegando documento d'identità. Risposta entro un mese (art. 12.3 GDPR).
Diritto di reclamo all'Autorità di controllo. Garante per la Protezione dei Dati Personali, Piazza Venezia 11 — 00187 Roma · www.gpdp.it · [email protected].
10. Misure di sicurezza
Misure tecniche e organizzative adeguate ai sensi degli artt. 32 e 9.3 GDPR:
- Crittografia in transito tramite TLS 1.3 (Cloudflare Full Strict + certificato Origin)
- Crittografia a riposo dei database e dei backup (AES-256)
- Hashing irreversibile delle password (bcrypt)
- Isolamento multi-tenant a livello di query SQL (auto-filtro per tenant)
- Controllo accessi basato su ruoli (RBAC) con permessi granulari
- Audit log immutabile, in particolare su ogni accesso a dati sanitari
- Backup giornalieri cifrati su destinazione UE
- Anti-brute-force con fail2ban
- CSP (Content Security Policy) attivo con nonce su script
- Aggiornamenti di sicurezza tempestivi
11. Cookie
Per il trattamento dei dati attraverso cookie e altri identificatori si rinvia alla Cookie Policy dedicata.
12. Trattamento di dati di minori
Il Servizio CoopSuite è rivolto a soggetti maggiorenni rappresentanti di cooperative o ETS. Il Titolare non raccoglie consapevolmente dati di minori al di sotto dei 16 anni per finalità di registrazione al Servizio. La cooperativa cliente, ove tratti dati di minori (es. moduli Infanzia per asili nido), resta Titolare autonomo e responsabile della raccolta del consenso di genitori o tutori ai sensi dell'art. 8 GDPR.
13. Modifiche alla presente informativa
Il Titolare si riserva di aggiornare la presente Informativa per riflettere modifiche normative, organizzative o tecniche. Le modifiche sostanziali saranno comunicate via email agli utenti registrati con preavviso di almeno 30 giorni.