Informativa privacy
Privacy Policy.
v1.0 · 21 aprile 2026· Ai sensi dell'art. 13 Reg. UE 2016/679 (GDPR)
§ 1Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite comprova.it è:
- Ragione sociale
- FULMINET di Bertani Claudio
- P.IVA
- IT02786770202
- Sede legale
- Via Staffolo 15/2, 46040 Casaloldo (MN), Italia
- Contatto privacy
- privacy@comprova.it
FULMINET gestisce la piattaforma Comprova in qualità di Titolare del trattamentoper i dati raccolti tramite il sito istituzionale e gli strumenti gratuiti (es. Check NIS2). Per i dati conferiti dai clienti all'interno dell'Evidence Vault, FULMINET opera come Responsabile del trattamentoai sensi dell'art. 28 GDPR, sulla base del Data Processing Agreement sottoscritto con ciascun cliente (Titolare).
§ 2Dati raccolti e finalità
2.1 Dati conferiti direttamente
Raccogliamo i dati che ci fornisci quando:
- compili il check NIS2 (email, nome azienda, dimensione, settore);
- richiedi informazioni commerciali o prenoti una demo;
- crei un account cliente o vieni invitato come utente dal Cliente;
- carichi documenti, policy ed evidenze nell'Evidence Vault.
2.2 Dati generati dall'utilizzo
La piattaforma registra automaticamente:
- log di accesso con timestamp, IP, user-agent (finalità di sicurezza);
- audit trail tamper-evident di tutte le modifiche alle evidenze;
- hash SHA-256 dei documenti caricati e degli Audit Pack generati;
- registro incidenti (timer Art. 23 NIS2) con date, autore e stato.
Questi dati costituiscono la base probatoria del Vault e non sono manipolabili a posteriori: sono la forma in cui la piattaforma dimostra l'adempimento degli obblighi del Cliente.
2.3 Finalità e base giuridica
| Finalità | Base giuridica (GDPR) |
|---|---|
| Erogazione del servizio Comprova (Evidence Vault, Audit Pack, registri) | Art. 6.1.b — esecuzione del contratto |
| Generazione e conservazione delle evidenze firmate (hash SHA-256, audit trail) | Art. 6.1.b — esecuzione del contratto |
| Invio email transazionali (notifiche, report check NIS2, recapito Audit Pack) | Art. 6.1.b — esecuzione del contratto |
| Sicurezza della piattaforma, registri di accesso, prevenzione abusi | Art. 6.1.f — legittimo interesse |
| Adempimento obblighi legali e fiscali (fatturazione, conservazione documentale) | Art. 6.1.c — obbligo legale |
§ 3Sub-responsabili del trattamento
Per erogare il servizio utilizziamo i seguenti fornitori terzi, vincolati da accordo DPA. L'elenco completo e aggiornato è consultabile nella pagina /sicurezza.
| Fornitore | Servizio | Sede · Garanzia |
|---|---|---|
| Hetzner Online GmbH | Hosting, server di produzione, database, copie di sicurezza off-server | Germania (Falkenstein / Norimberga)Trattamento interamente in UE |
| Lettermint (MailerLite SIA) | Invio email transazionali (report, notifiche, attestati, OTP) | Lussemburgo (server UE) — sede legale Lituania (UE)Trattamento interamente in UE, art. 28 GDPR |
| Backblaze Inc. | Backup off-site cifrato client-side AES-256 (Fase 2, comunicato in anticipo). Il fornitore custodisce i blob ma non vede mai i contenuti in chiaro. | Stati Uniti — cifratura client-side fa sì che non ci sia trasferimento di dati personali in chiaroStandard Contractual Clauses + cifratura E2E, art. 28 GDPR + art. 46 GDPR |
L'infrastruttura di Comprova è interamente in Unione Europea. Anche le copie di sicurezza off-server sono mantenute presso lo stesso fornitore, in territorio UE: i tuoi documenti non escono mai dall'Europa.
§ 4Tempi di conservazione
- Dati di account ed evidenze:per l'intera durata del contratto con l'organizzazione Cliente.
- Check NIS2 (lead magnet): 24 mesi dalla compilazione, salvo richiesta di cancellazione anticipata.
- Log di accesso e sicurezza: 90 giorni rolling.
- Fatturazione e adempimenti fiscali: 10 anni ai sensi dell'art. 2220 c.c.
- Dopo la disdetta: export assistito su richiesta a privacy@comprova.it entro 30 giorni dalla comunicazione di recesso; successivamente, i dati vengono cancellati o resi anonimi in modo irreversibile, fatti salvi gli obblighi di legge.
§ 5Trasferimenti extra-UE
Comprova non effettua trasferimenti di dati personali al di fuori dell'Unione Europea. Sia l'infrastruttura principale, sia le copie di sicurezza, sia il provider email transazionale sono tutti in UE (Germania, Lussemburgo, Lituania). Eventuali variazioni saranno notificate con preavviso e aggiornamento di questa policy.
§ 6Cookie
Comprova utilizza esclusivamente cookie tecnici necessari al funzionamento della piattaforma (sessione, CSRF, preferenze minime). Non utilizziamo cookie di profilazione, analytics traccianti o terze parti pubblicitarie. Per il dettaglio vedi la Cookie Policy.
§ 7I tuoi diritti
| Art. 15 | AccessoOttenere copia dei dati personali trattati. |
| Art. 16 | RettificaCorreggere dati inesatti o incompleti. |
| Art. 17 | CancellazioneRichiedere la cancellazione, fatti salvi gli obblighi di conservazione legale e gli Audit Pack già consegnati al cliente. |
| Art. 18 | LimitazioneLimitare il trattamento in caso di contestazione o esercizio di altri diritti. |
| Art. 20 | PortabilitàRicevere i dati in formato strutturato leggibile da macchina — in Comprova l'Audit Pack è la forma nativa di portabilità. |
| Art. 21 | OpposizioneOpporsi al trattamento basato su legittimo interesse, salva valutazione di prevalenza. |
Per esercitare i diritti scrivi a privacy@comprova.it. Risponderemo entro 30 giorni. Hai anche diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali — garanteprivacy.it.
§ 8Misure di sicurezza
Adottiamo misure tecniche e organizzative adeguate, fra cui:
- autenticazione a più fattori (TOTP) per tutti gli account amministrativi;
- cifratura TLS in transito su tutti i canali, cifratura at-rest sulle copie di sicurezza;
- isolamento dei dati a livello di database, separato per ogni organizzazione cliente;
- audit trail tamper-evident e hash SHA-256 su ogni Audit Pack generato;
- accesso ai dati limitato al personale autorizzato, su base need-to-know.
Per la descrizione completa dell'infrastruttura e delle misure, consulta /sicurezza.
§ 9Modifiche all'informativa
In caso di modifiche sostanziali informeremo via email gli account attivi con almeno 30 giorni di preavviso. La versione corrente di questo documento è v1.0 del 21 aprile 2026. Le versioni precedenti restano disponibili su richiesta.