Informativa sulla Privacy — Notifico
Versione: 0.1 (bozza pendente revisione legale)
Ultima modifica: 2026-05-06
Ai sensi: Legge federale sulla protezione dei dati svizzera ("nFADP", in vigore dal 1° settembre 2023) e, ove applicabile, Regolamento UE 2016/679 ("GDPR").
1. Premesse
La presente Informativa illustra come North Star Group SNC (di seguito, "Notifico" o "noi") raccoglie, utilizza, conserva e protegge i dati personali quando Lei utilizza il servizio web "Notifico" (di seguito, "Servizio").
L'utilizzo del Servizio implica l'accettazione dei Termini e Condizioni d'Uso e la presa visione della presente Informativa.
2. Titolare del trattamento
North Star Group SNC
Via San Gottardo 45
6596 Gordola, Ticino, Svizzera
IDE: CHE-XXX.XXX.XXX [da inserire]
Email titolare: privacy@notifico.ch
Per la fornitura del Servizio, Notifico opera in due ruoli distinti:
a) Titolare del trattamento rispetto ai dati relativi al Suo account utente, alla fatturazione, all'utilizzo del Servizio e alla sicurezza.
b) Responsabile del trattamento ("processor", ai sensi dell'art. 9 nFADP) rispetto ai dati ospite che Lei carica nel Servizio per generare i file richiesti dal portale notifiche.ti.ch. In tal caso, Lei è il titolare del trattamento e il rapporto è regolato dall'Accordo sulla Protezione dei Dati (DPA) che integra i Termini e Condizioni.
3. Quali dati trattiamo
3.1 Dati del Suo account (Notifico è titolare)
| Categoria | Dati specifici | Origine |
|---|---|---|
| Identificativi | Indirizzo email, nome (facoltativo), lingua preferita | Forniti da Lei al signup |
| Pagamento | Dati di fatturazione, ID transazione Stripe, tipo di subscription | Generati al primo acquisto; gestiti tramite Stripe |
| Tecnici | IP address, user-agent, identificatori di sessione | Raccolti automaticamente al login |
| Wallet | Saldo token, storico transazioni token, abbonamento attivo | Generati dall'uso del Servizio |
| Strutture | Id struttura ricettiva (es: XNA9999), nome, indirizzo | Forniti da Lei |
| Comunicazioni | Email di supporto, ticket | Forniti da Lei |
| Audit di sicurezza | Log di accesso, eventi sentry, log di rate-limiting | Generati automaticamente |
3.2 Dati ospite (Notifico è responsabile, Lei è titolare)
I dati relativi agli ospiti delle Sue strutture (cognome, nome, data di nascita, nazionalità, date di soggiorno, tipo e numero documento, etc.) vengono trattati solo in memoria durante l'elaborazione della richiesta e non vengono mai memorizzati sui sistemi di Notifico. Una volta restituito il file generato, i dati ospite sono cancellati.
I file XLSX generati e i metadati di conversione associati (data, tipo, numero righe, struttura) sono conservati per 30 giorni, poi cancellati automaticamente.
Notifico non utilizza i dati ospite per finalità diverse dalla validazione, normalizzazione e generazione del file richiesto. Non vengono effettuati profilazioni, decisioni automatizzate con effetti giuridici, marketing diretto, vendita o cessione a terzi.
3.3 Dati che NON trattiamo
Notifico non raccoglie:
- Dati di pagamento sensibili (es: numero carta, CVV, IBAN). Tali dati sono gestiti direttamente da Stripe e non transitano dai nostri server.
- Dati biometrici, di salute, di orientamento sessuale, religiosi o politici degli ospiti.
- Dati di geolocalizzazione precisa.
- Cookie di tracciamento di terze parti.
4. Finalità e basi giuridiche
| Finalità | Dati trattati | Base giuridica (nFADP) |
|---|---|---|
| Fornire il Servizio (registrazione, autenticazione, conversione file, fatturazione) | Dati account, pagamento, wallet, strutture | Esecuzione del contratto (art. 31, lett. a, nFADP) |
| Garantire la sicurezza (rilevamento abusi, prevenzione frodi, log di accesso) | Tecnici, audit di sicurezza | Interesse legittimo prevalente (art. 31, lett. d, nFADP) |
| Adempiere ad obblighi di conservazione fiscale | Pagamento, fatturazione | Adempimento obbligo legale (art. 31, lett. b, nFADP); art. 958f CO |
| Inviare comunicazioni di servizio (notifiche transazionali, avvisi di sicurezza, conferme di pagamento) | Email | Esecuzione del contratto |
| Migliorare il Servizio (analisi aggregate anonimizzate via Vercel Analytics) | Tecnici aggregati | Interesse legittimo prevalente |
| Inviare comunicazioni commerciali (esclusivamente con consenso esplicito) | Email | Consenso (art. 31, lett. e, nFADP) — revocabile in qualsiasi momento |
| Generare file ospite per Lei (in qualità di responsabile del trattamento) | Dati ospite | Su istruzione del titolare (Lei); base giuridica del trattamento è di Sua responsabilità |
5. Periodo di conservazione
| Categoria | Periodo di conservazione |
|---|---|
| Dati ospite (input) | Solo durante l'elaborazione della richiesta. Mai memorizzati. |
| File generati e metadati di conversione | 30 giorni dalla generazione. |
| Dati di account | Per la durata del rapporto contrattuale + 10 anni dalla cessazione (art. 958f CO). |
| Fatture e dati fiscali | 10 anni dalla data di fatturazione (art. 958f CO). |
| Log di sicurezza | 90 giorni rolling, salvo necessità di indagine in corso. |
| Comunicazioni di supporto | 2 anni dall'ultimo contatto. |
| Dati anonimi/aggregati per analisi | Indefinitamente (non identificativi). |
6. Destinatari dei dati (sub-fornitori)
Per fornire il Servizio, Notifico si avvale dei seguenti fornitori che possono trattare i Suoi dati. Tutti operano sotto contratto di responsabile del trattamento (DPA) con Notifico, con garanzie adeguate ai sensi del Capo III nFADP.
| Sub-fornitore | Finalità | Sede legale | Sede del trattamento | Trasferimento extra-CH |
|---|---|---|---|---|
| Vercel Inc. | Hosting, deployment, CDN, analytics web | USA | Francoforte, Germania (UE) | UE → CH adeguato (decisione CH-UE) |
| Neon, Inc. | Database PostgreSQL gestito | USA | Francoforte, Germania (UE) | UE → CH adeguato |
| Upstash, Inc. | Redis serverless (rate limiting) | USA | Francoforte, Germania (UE) | UE → CH adeguato |
| Stripe Payments Europe Ltd. | Elaborazione pagamenti | Irlanda (UE) | Irlanda (UE) | UE → CH adeguato |
| Resend, Inc. | Invio email transazionali | USA | UE primarily | UE → CH adeguato; clausole contrattuali per dati USA |
| Functional Software, Inc. (Sentry) | Error monitoring e logging | USA | UE | UE → CH adeguato |
| GitHub, Inc. (sub-fornitore tecnico tramite Vercel) | Repository codice | USA | USA | Clausole contrattuali standard |
| Google LLC (sub-fornitore tecnico per dominio email) | Posta in arrivo (non per dati ospite) | USA | UE | Clausole contrattuali standard |
Aggiornamento dell'elenco: modifiche all'elenco sub-fornitori sono comunicate via email con preavviso di 14 giorni. Lei può recedere dal Servizio in caso di disaccordo sui nuovi sub-fornitori.
6.1 Trasferimenti extra-Confederazione
Tutti i trattamenti operativi avvengono in Svizzera o in Unione Europea. La Confederazione Svizzera ha riconosciuto l'UE come Paese che offre un livello adeguato di protezione (decisione del Consiglio federale 2024). Per i sub-fornitori con sede legale negli USA che potrebbero accedere a dati per supporto tecnico, sono in vigore le Clausole Contrattuali Standard previste dall'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), come complementari al Swiss-U.S. Data Privacy Framework ove applicabile.
7. Misure di sicurezza
Notifico adotta misure tecniche e organizzative adeguate, ai sensi dell'art. 8 nFADP e degli standard ISO/IEC 27001, in particolare:
- Cifratura in transito: TLS 1.3 su tutte le comunicazioni (HTTPS).
- Cifratura a riposo: AES-256 per i database (gestita da Neon e Upstash).
- Autenticazione magic-link (passwordless), riducendo i rischi di credential stuffing.
- Rate limiting delle API tramite Upstash Redis.
- Logging e monitoraggio dei tentativi di accesso anomali via Sentry.
- Backup automatici dei dati di account (giornalieri, conservati 30 giorni).
- Principio di privilegio minimo nell'accesso del personale ai dati.
- Audit trail delle operazioni amministrative.
- Procedure di gestione data breach ai sensi dell'art. 24 nFADP.
In caso di violazione della sicurezza che possa comportare un alto rischio per i Suoi dati, La informeremo tempestivamente e, se necessario, notificheremo l'IFPDT (Incaricato federale) entro le 72 ore prescritte dalla nFADP.
8. I Suoi diritti
Ai sensi del Capo II (artt. 25-29) della nFADP, Lei ha i seguenti diritti rispetto ai Suoi dati personali (in qualità di interessato):
| Diritto | Cosa significa | Come esercitarlo |
|---|---|---|
| Accesso (art. 25) | Sapere se trattiamo i Suoi dati e ottenerne una copia. | Email a privacy@notifico.ch; rispondiamo entro 30 giorni. |
| Rettifica (art. 32) | Correggere dati inesatti o incompleti. | Modifica diretta dall'area /dashboard/account, o email a privacy@notifico.ch. |
| Cancellazione (art. 32) | Richiedere la cancellazione dei Suoi dati. | Cancellazione account dall'area /dashboard/account, o email. |
| Limitazione | Restringere il trattamento in casi specifici (es: contestazione esattezza). | Email a privacy@notifico.ch. |
| Opposizione | Opporsi al trattamento basato su interesse legittimo, salvo prevalenti motivi legittimi del titolare. | Email a privacy@notifico.ch. |
| Portabilità | Ricevere i Suoi dati in formato strutturato e trasferibili. | Email a privacy@notifico.ch. Forniamo CSV/JSON con i dati account. |
| Reclamo all'IFPDT | Presentare reclamo all'Incaricato federale della protezione dei dati e della trasparenza. | Vedi sezione 11. |
| Revoca del consenso | Revocare consensi prestati per finalità non essenziali (es: marketing). | Link unsubscribe in ogni email; privacy@notifico.ch. |
L'esercizio dei diritti è gratuito. Per richieste manifestamente eccessive o ripetitive, ci riserviamo il diritto di applicare un onorario amministrativo ragionevole o di rifiutare la richiesta, ai sensi dell'art. 26 nFADP.
Per esercitare un diritto, scriva a privacy@notifico.ch indicando: (a) il diritto che intende esercitare, (b) i dati a cui si riferisce, (c) la prova dell'identità (per evitare abusi: una richiesta dall'indirizzo email associato all'account è generalmente sufficiente; per richieste da terzi, copia di documento di identità).
9. Cookie e tracciamento
Notifico utilizza esclusivamente cookie tecnici essenziali strettamente necessari per il funzionamento del Servizio (autenticazione, sessione). Non utilizziamo cookie di profilazione, di marketing o di tracciamento di terze parti.
| Cookie | Finalità | Tipo | Durata | Origine |
|---|---|---|---|---|
| next-auth.session-token | Autenticazione utente | Tecnico essenziale | Sessione (~30 giorni) | Auth.js |
| next-auth.csrf-token | Protezione CSRF | Tecnico essenziale | Sessione | Auth.js |
| notifico-cookie-consent | Memorizzazione scelta sul banner cookie | Tecnico | 12 mesi | localStorage |
Vercel Analytics raccoglie metriche aggregate di traffico e prestazioni in modo anonimo e cookieless: non utilizza cookie, non identifica i visitatori, non profila comportamenti. I dati sono aggregati prima della raccolta. Vedi vercel.com/docs/analytics/privacy per dettagli tecnici.
Non è richiesto consenso per i cookie tecnici essenziali ai sensi dell'art. 6 nFADP, in quanto strettamente necessari per fornire il servizio richiesto dall'utente.
10. Profilazione e decisioni automatizzate
Notifico non effettua profilazione ad alto rischio né decisioni automatizzate con effetti giuridici sull'utente o sull'ospite. Il Servizio si limita a validazioni meccaniche del formato del file (corrispondenza a regex, lookup ISO, ecc.) e generazione del file XLSX. Non vengono utilizzati modelli predittivi o di classificazione che possano influenzare diritti o legittimi interessi.
11. Reclami
Lei ha il diritto di presentare reclamo all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT):
IFPDT — Incaricato federale della protezione dei dati e della trasparenza
Feldeggweg 1, 3003 Berna
Tel: +41 58 462 43 95
Web: edoeb.admin.ch
Se Lei risiede nell'Unione Europea, può rivolgersi all'autorità di protezione dei dati del Suo Paese di residenza ai sensi del GDPR.
Le ricordiamo che, prima di presentare un reclamo, è generalmente possibile risolvere la questione contattandoci direttamente a privacy@notifico.ch.
12. Minori
Il Servizio non è destinato a minori di 16 anni. Non raccogliamo intenzionalmente dati di minori. Se veniamo a conoscenza di aver raccolto dati di minori senza consenso parentale, provvediamo alla cancellazione tempestiva.
I dati ospite caricati dal Cliente possono includere dati di minori (figli che alloggiano con i genitori): il Cliente è responsabile per la legittimità del trattamento di tali dati ai sensi della normativa applicabile.
13. Modifiche all'Informativa
Possiamo modificare la presente Informativa per riflettere modifiche normative, evoluzione del Servizio o cambiamenti nei sub-fornitori. Le modifiche materiali saranno comunicate via email all'indirizzo associato all'account, con preavviso di almeno 30 giorni. Le modifiche meramente formali entrano in vigore con la pubblicazione di una nuova versione su questa pagina.
14. Contatti
Per qualsiasi questione relativa alla protezione dei dati, contattare:
North Star Group SNC
Via San Gottardo 45, 6596 Gordola, Ticino, Svizzera
Email privacy: privacy@notifico.ch
Changelog
| Versione | Data | Modifiche |
|---|---|---|
| 0.1 | 2026-05-06 | Bozza iniziale (AI-generated, pending revisione legale). |
Questa Informativa è una bozza tecnica generata via AI sulla base dello stack effettivamente in uso. Deve essere riveduta da un avvocato svizzero specializzato in nFADP prima della pubblicazione.