INFORMATIVA PRIVACY - PIATTAFORMA WEB E APPLICAZIONE MOBILE

Ai sensi dell'Art. 13 del Regolamento UE 2016/679 (GDPR)

1. TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento per i dati di navigazione, tecnici, di telemetria e di registrazione strettamente connessi al corretto funzionamento della Piattaforma Web e dell'Applicazione Mobile è CodiceWeb Business Innovation S.r.l., con sede legale in Via Venezia, 92/b - 35131 Padova (PD), C.F. e P.IVA 03505120984, e-mail: info@cwbi.it. La casella email è gestita da personale interno appositamente formato per rispondere alle richieste in materia di protezione dei dati personali.

2. TIPOLOGIA DI DATI TRATTATI COME TITOLARE

L'applicazione mobile e l'interfaccia web raccolgono e trattano esclusivamente i dati tecnici e di utilizzo necessari a garantire la stabilità, la sicurezza e la corretta visualizzazione del servizio:

  • Dati di navigazione, telemetria e diagnostica: Indirizzi IP, marca, modello e specifiche hardware del dispositivo (raccolte tramite la libreria Flutter device_info_plus); versione del sistema operativo e livello API; indicazione se il dispositivo è fisico o emulatore; crash log e report di errore dell'applicazione; timestamp dettagliati delle connessioni. L'IMEI non viene in alcun modo raccolto né trattato.
  • Identificativi univoci del dispositivo: Su Android viene raccolto l'androidId, un identificativo pseudonimizzato generato dal sistema operativo, specifico per combinazione app/dispositivo e resettabile dall'utente tramite ripristino delle impostazioni di fabbrica. Su iOS viene raccolto l'identifierForVendor (IDFV), un identificativo pseudonimizzato generato dal sistema operativo, specifico per vendor e resettabile dall'utente tramite la disinstallazione completa di tutte le app dello stesso sviluppatore. Nessuno dei due identificativi è riconducibile all'identità reale dell'utente né a identificativi hardware permanenti quali l'IMEI.
  • Nome del dispositivo (solo iOS): La libreria device_info_plus può acquisire il nome personalizzato assegnato al dispositivo dal proprietario (es. "iPhone di Mario"), ottenuto tramite la proprietà UIDevice.current.name. Su iOS 16 e versioni successive, in assenza dello specifico entitlement Apple (com.apple.developer.device-information.user-assigned-device-name), tale proprietà restituisce unicamente il tipo generico del dispositivo (es. "iPhone" o "iPad") e non il nome personalizzato. Ove il nome personalizzato venga acquisito, esso è trattato con le medesime garanzie dei dati tecnici e conservato per il periodo indicato alla Sezione 5.
  • Dati di accesso Mobile (Requisiti Google Play / Apple App Store): Token tecnici temporanei di sessione; Firebase Installation ID (FID), un identificativo pseudonimizzato generato localmente dall'SDK Firebase, non collegabile all'identità reale dell'utente e resettabile tramite la reinstallazione dell'app; identificativi univoci (token push) per l'invio e la corretta ricezione delle notifiche push tramite Firebase Cloud Messaging (Google LLC), erogate solo previa esplicita autorizzazione fornita dall'utente sul proprio dispositivo. Le notifiche inviate tramite Firebase Cloud Messaging sono di natura generica e non contengono dati personali dell'utente. Il token push e il FID vengono conservati sui server di CWBI e su Firebase fino alla disinstallazione dell'app o alla revoca dell'autorizzazione da parte dell'utente. Firebase Cloud Messaging prevede meccanismi automatici per cui i token non più utilizzati vengono considerati non validi (ad esempio, per dispositivi Android, dopo 270 giorni di inattività). CWBI non esegue procedure automatizzate aggiuntive per la rimozione dei token, affidandosi ai meccanismi nativi di Firebase. L'utente può revocare l'autorizzazione alle notifiche push in qualsiasi momento dalle impostazioni del proprio dispositivo, senza che ciò pregiudichi il funzionamento del servizio.
3. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO
  • Erogazione tecnica del servizio: consentire all'utente la fruizione delle interfacce grafiche e l'integrazione sicura dei sistemi di autenticazione. Base giuridica: esecuzione di misure contrattuali o precontrattuali di cui l'interessato è parte (art. 6, par. 1, lett. b) GDPR).
  • Sicurezza informatica e prevenzione frodi: analisi automatizzata dei log tecnici per prevenire, rilevare o bloccare tentativi di attacco informatico, accessi abusivi o malfunzionamenti critici. Base giuridica: legittimo interesse del Titolare del trattamento alla protezione della propria infrastruttura e degli utenti (art. 6, par. 1, lett. f) GDPR).
  • Miglioramento della qualità e stabilità del servizio: raccolta di crash log e report di errore per identificare malfunzionamenti e migliorare la stabilità dell'applicazione. I dati raccolti a questo scopo sono tecnici e pseudonimizzati, e non consentono di ricostruire il contenuto delle operazioni svolte dall'utente. Base giuridica: legittimo interesse del Titolare, bilanciato con la ragionevole aspettativa dell'utente di ricevere un'applicazione stabile e funzionante (art. 6, par. 1, lett. f) GDPR).
4. FLUSSO DEI DATI FISCALI E DELLE CREDENZIALI (SPID / CIE / FISCOONLINE) – RUOLO DI RESPONSABILE (ART. 28 GDPR)

Si informa specificamente l'Utente che la Piattaforma e l'Applicazione integrano una funzionalità tecnologica che reindirizza l'utente verso i sistemi di autenticazione dell'Agenzia delle Entrate. Le credenziali di accesso possono essere:

  • SPID o CIE: inserite direttamente dall'utente sui siti istituzionali;
  • FiscoOnline: codice fiscale, password e PIN, anch'essi inseriti direttamente dall'utente sui sistemi dell'Agenzia delle Entrate.

CodiceWeb Business Innovation S.r.l. non vede né trattiene in alcuna fase le credenziali. Il servizio riceve unicamente un token di sessione temporaneo, che viene utilizzato esclusivamente per scaricare i documenti richiesti.

  • Gestione transitoria del token: Il token viene mantenuto esclusivamente nella memoria volatile (RAM) per il tempo strettamente necessario alla richiesta dei documenti (alcuni secondi) e viene sovrascritto/cancellato immediatamente dopo. In nessun caso viene scritto su database, file di log, crash dump o memoria persistente (zero-footprint).
  • Esclusione della titolarità sui dati fiscali: In merito a tutti i documenti fiscali, economici e contabili estratti o visualizzati (a titolo esemplificativo: Fatture Elettroniche, Dichiarazioni dei Redditi, Modelli F24, Bilanci), CodiceWeb Business Innovation S.r.l. opera esclusivamente in qualità di Responsabile del Trattamento (Data Processor) ai sensi dell'Art. 28 del GDPR. L'attività viene svolta per conto e su istruzione documentata del Partner commerciale terzo (la piattaforma fintech, l'istituto bancario o l'intermediario scelto) che l'utente ha contrattualizzato.
  • Rimando all'informativa del Partner: Le finalità del trattamento dei dati fiscali, le politiche di marketing, i tempi di conservazione dei file scaricati e l'esercizio dei diritti connessi sono stabiliti esclusivamente dal Partner terzo in qualità di Titolare Autonomo del Trattamento. Prima di procedere all'estrazione, l'utente è sempre invitato a prendere visione e ad accettare l'informativa privacy del Partner. L'Utente è tenuto a fare riferimento all'Informativa Privacy del rispettivo Partner per qualsiasi istanza o diritto relativo ai propri dati fiscali ed economici.
5. CONSERVAZIONE DEI DATI TECNICI

I log di sistema e i dati tecnici di telemetria raccolti direttamente da CodiceWeb Business Innovation S.r.l. in qualità di Titolare vengono conservati per un periodo massimo di 6 mesi, ad eccezione dei casi in cui una conservazione prolungata si renda necessaria per adempiere a un obbligo di legge o per l'accertamento di reati da parte dell'Autorità Giudiziaria.

5.1 TRASFERIMENTI DI DATI VERSO PAESI TERZI

I dati tecnici e di telemetria raccolti da CodiceWeb Business Innovation S.r.l. sono trattati esclusivamente su server ubicati in Italia (presso Aruba S.p.A.) e non sono oggetto di trasferimento verso paesi terzi extra-UE da parte di CodiceWeb Business Innovation S.r.l. Qualora in futuro un Partner dovesse richiedere un trasferimento extra-UE, l'utente ne verrà informato prima dell'estrazione tramite l'informativa del Partner stesso.

Relativamente ai soli dati tecnici di dispositivo (token push) trattati da Google LLC tramite Firebase Cloud Messaging, si segnala che Google LLC ha sede negli Stati Uniti e opera come fornitore tecnico autonomo. Il trasferimento di tali dati tecnici avviene sotto la responsabilità di Google, sulla base della sua adesione al Data Privacy Framework EU-US (decisione di adeguatezza della Commissione Europea del 10 luglio 2023), ai sensi dell'art. 45 GDPR. CodiceWeb Business Innovation S.r.l. non trasferisce dati personali degli utenti a Google nell'ambito di tale servizio, in quanto le notifiche push inviate sono di natura generica e prive di contenuto personale.

5.2 FORNITORI TECNICI TERZI

Per l'erogazione del servizio, CodiceWeb Business Innovation S.r.l. si avvale dei seguenti fornitori tecnici:

  • Aruba S.p.A.: servizi di hosting e infrastruttura cloud (sede: Italia). Aruba S.p.A. opera in qualità di sub-responsabile del trattamento ai sensi dell'art. 28 GDPR, vincolata da apposito contratto che impone le medesime garanzie di sicurezza previste dalla normativa.
  • Google LLC (Firebase Cloud Messaging): Google LLC viene utilizzato per l'invio di notifiche push generiche agli utenti dell'applicazione. Le notifiche non contengono dati personali degli utenti: il trattamento si limita al token tecnico del dispositivo, necessario per il recapito della notifica. In questo contesto, Google opera come fornitore tecnico autonomo secondo i propri termini di servizio e privacy policy (https://policies.google.com/privacy). Si segnala che Google LLC ha sede negli Stati Uniti; il trasferimento dei dati tecnici è effettuato sulla base dell'adesione di Google al Data Privacy Framework EU-US (decisione di adeguatezza della Commissione Europea del 10 luglio 2023), ai sensi dell'art. 45 GDPR. Gli utenti possono consultare la documentazione di Google per maggiori informazioni sul trattamento dei dati tecnici di dispositivo.
5.3 APP TRACKING TRANSPARENCY (SOLO iOS)

L'applicazione non utilizza l'Advertising Identifier (IDFA) né strumenti di tracciamento cross-app soggetti al framework App Tracking Transparency (ATT) di Apple. L'identificativo raccolto (identifierForVendor/IDFV) è esentato dall'obbligo di consenso ATT in quanto limitato all'uso interno del singolo sviluppatore e non condiviso con terze parti a fini pubblicitari.

6. DIRITTI DELL'INTERESSATO

L'utente può esercitare in ogni momento i diritti previsti dagli artt. 15 e seguenti del GDPR (accesso, rettifica, cancellazione, limitazione dei soli dati tecnici e di telemetria direttamente gestiti da CodiceWeb Business Innovation S.r.l.) inviando una comunicazione all'indirizzo e-mail: info@cwbi.it.

Le richieste relative ai documenti estratti e ai dati del cassetto fiscale dovranno essere indirizzate al Partner commerciale di riferimento. Per agevolare l'utente, CodiceWeb Business Innovation S.r.l. fornisce, su richiesta scritta allo stesso indirizzo email, l'indicazione del Partner utilizzato per l'estrazione (se disponibile nei propri registri tecnici). Tuttavia, CWBI non inoltra automaticamente le richieste al Partner; l'utente dovrà contattare direttamente il Partner utilizzando i recapiti forniti nella sua informativa privacy, che viene mostrata prima dell'estrazione.

L'utente ha altresì il diritto di proporre reclamo al Garante per la protezione dei dati personali, con sede in Piazza Venezia 11 - 00187 Roma, sito web: www.gpdp.it.

6.1 DECISIONI AUTOMATIZZATE (ART. 22 GDPR)

CodiceWeb Business Innovation S.r.l. non adotta alcuna decisione automatizzata basata sui dati fiscali estratti. Eventuali valutazioni automatizzate (es. affidabilità creditizia, profilazione) sono di esclusiva competenza del Partner terzo, che dovrà informare l'utente separatamente ai sensi dell'art. 22 GDPR.

7. DESTINATARI DEL SERVIZIO E TUTELA DEI MINORI

Il presente servizio è destinato esclusivamente a utenti maggiorenni (età minima 18 anni). CodiceWeb Business Innovation S.r.l. non raccoglie consapevolmente dati personali di minori di 18 anni. Qualora venisse rilevato che dati di un minore sono stati forniti senza il consenso genitoriale, tali dati saranno cancellati tempestivamente.

Data ultimo aggiornamento: 20 maggio 2026
Contatto per richieste privacy: info@cwbi.it