icysign
1 / 8

Informativa e Consenso

Leggi l'informativa sul trattamento dei dati e fornisci il tuo consenso prima di procedere.

Informativa sul trattamento dei dati personali

ai sensi dell'Art. 13 del Regolamento (UE) 2016/679 (GDPR), del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, e del DPCM 22/02/2013

1. Titolare del Trattamento

Il Titolare del Trattamento è:

[DA COMPILARE]
[DA COMPILARE]
Contatto privacy / DPO: [DA COMPILARE]

Il Titolare si riserva il diritto di aggiornare la presente informativa. La data dell'ultimo aggiornamento sarà indicata in cima al documento. Le modifiche sostanziali saranno comunicate ai firmatari tramite l'indirizzo e-mail fornito durante il processo di firma.

2. Responsabile del Trattamento (Data Processor)

Il Responsabile del Trattamento, che agisce per conto del Titolare ai sensi dell'Art. 28 GDPR, è il gestore della piattaforma IcySign:

[DA COMPILARE]

Il Responsabile del Trattamento è attualmente identificato nelle persone fisiche gestori della piattaforma. Al momento della costituzione di una persona giuridica, questa sezione sarà aggiornata con i dati dell'entità registrata.

3. Categorie di dati raccolti e finalità

Dati identificativi (nome, indirizzo e-mail)

Raccolti per identificare univocamente il firmatario e recapitare il documento firmato. Base giuridica: Art. 6.1.b GDPR (esecuzione di un contratto) e Art. 6.1.c GDPR (adempimento di obbligo legale — DPCM 22/02/2013 Art. 57).

Copia del documento d'identità

Raccolta per adempiere all'obbligo di identificazione del firmatario previsto dal DPCM 22/02/2013 Art. 57.1.a. Base giuridica: Art. 6.1.c GDPR (obbligo legale).

Firma grafometrica (dato biometrico)

Raccolta per generare la Firma Elettronica Avanzata (FEA) con valore legale equivalente alla firma autografa ai sensi del CAD Art. 20 e dell'eIDAS Art. 26. Base giuridica: Art. 9.2.a GDPR — consenso esplicito dell'interessato (vedi sezione 9 — consenso biometrico).

4. Modalità di trattamento dei dati biometrici

La firma grafometrica viene acquisita come insieme di caratteristiche comportamentali (velocità, pressione, ritmo, accelerazione) durante il gesto di firma sul dispositivo.

  • Le caratteristiche vengono immediatamente trasformate in un token binario cifrato con crittografia AES-256. I dati grezzi vengono distrutti dalla memoria subito dopo questa trasformazione — non vengono mai conservati in chiaro.
  • Il token cifrato viene incorporato in modo inscindibile all'interno del documento PDF firmato e del file di lock crittografico.
  • Il token non può essere letto da nessuno senza una specifica procedura di accesso per autorità giudiziarie. Non viene utilizzato per nessuna finalità diversa dal processo di firma FEA e dalla eventuale risoluzione di controversie.

5. Periodo di conservazione

  • Dati identificativi, copia del documento d'identità e documento firmato (incluso il token biometrico incorporato): 20 anni, come richiesto dal DPCM 22/02/2013 Art. 57.1.b.
  • Trascorsi i 20 anni, tutti i dati vengono cancellati in modo permanente.
  • In caso di controversia legale attiva alla scadenza del periodo di conservazione, i dati possono essere conservati fino alla definitiva risoluzione della controversia.
  • Codici OTP: 15 minuti (TTL Redis), poi distrutti automaticamente.
  • Stato della sessione di firma: per la durata della sessione configurata (default: 60 minuti).

6. Destinatari e sub-responsabili del trattamento

I dati sono trattati dai seguenti soggetti, ciascuno vincolato da un Accordo di Trattamento Dati con IcySign:

  • DigitalOcean (Francoforte, DE — FRA1 — UE) — provider cloud primario. Ospita l'applicazione IcySign, il database MariaDB e il filesystem Laravel contenente il PDF firmato cifrato e il file di lock cifrato. Tutti i dati personali conservati su DigitalOcean sono cifrati a riposo con AES-256-GCM96. DigitalOcean non può accedere ai contenuti in chiaro senza le chiavi di decifratura.
  • Amazon Web Services — AWS (Milano, IT — eu-south-1 — UE) — provider di backup. Conserva copie di backup cifrate del filesystem e del dump del database. AWS detiene solo testo cifrato e non può accedere ai contenuti in chiaro. I dati non lasciano mai il territorio UE.
  • Bitwarden.eu (istanza UE) — gestore dei segreti crittografici. Conserva le chiavi che controllano l'accesso al livello di decifratura. Non detiene dati personali dei firmatari direttamente, ma controlla l'accesso alle chiavi necessarie per la decifratura. L'accesso è gestito tramite account macchina separati.
  • Brevo (Sendinblue S.A.S., Francia — UE) — provider di email transazionali. Tratta l'indirizzo e-mail del firmatario esclusivamente per la consegna dell'e-mail di conferma post-firma. Brevo non riceve il PDF né il suo contenuto.
  • Autorità giudiziarie o altre autorità legittimate dalla legge — in caso di controversia o richiesta normativa, secondo le procedure stabilite dalla legge.

Nessun trasferimento di dati verso paesi terzi al di fuori dello Spazio Economico Europeo (SEE). Tutti i sub-responsabili operano in regioni UE.

7. Diritti dell'interessato

L'interessato ha i seguenti diritti ai sensi del Capitolo III GDPR:

  • Diritto di accesso (Art. 15): richiedere conferma dell'esistenza di dati e ottenerne una copia.
  • Diritto di rettifica (Art. 16): richiedere la correzione di dati inesatti. Nota: i dati incorporati in un PDF firmato non possono essere modificati, poiché ciò invaliderebbe il valore legale della firma.
  • Diritto alla cancellazione (Art. 17): richiedere la cancellazione dei dati personali. Questo diritto è limitato per questa attività di trattamento: il documento firmato e tutti i dati associati devono essere conservati per 20 anni ai sensi del DPCM 22/02/2013 Art. 57 (obbligo legale). Le richieste di cancellazione saranno respinte per i dati soggetti a questo obbligo di conservazione legale.
  • Diritto di limitazione del trattamento (Art. 18): richiedere che i dati vengano conservati ma non ulteriormente trattati.
  • Diritto alla portabilità (Art. 20): ricevere i dati personali in un formato strutturato e leggibile da macchina. Parzialmente soddisfatto dall'e-mail post-firma con il link di download del PDF firmato.
  • Diritto di opposizione (Art. 21): opporsi al trattamento basato su interesse legittimo. Non applicabile al trattamento FEA principale (basato su obbligo legale e contratto), ma applicabile a qualsiasi trattamento opzionale condotto dal Titolare.
  • Diritto di revocare il consenso (Art. 7.3): revocare il consenso al trattamento dei dati biometrici in qualsiasi momento. La revoca non ha effetto retroattivo sulle firme già effettuate. L'utilizzo futuro della FEA con questo Titolare richiederà un nuovo consenso.
  • Diritto di proporre reclamo (Art. 77): proporre reclamo all'autorità di controllo italiana — Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

Per esercitare uno qualsiasi dei diritti sopra indicati, contattare: [DA COMPILARE]

8. Natura obbligatoria o facoltativa del conferimento

  • Il conferimento dei dati identificativi (nome, e-mail) e del documento d'identità è obbligatorio per utilizzare il servizio di firma FEA. In assenza di tali dati il servizio non può essere erogato.
  • Il conferimento dei dati biometrici della firma grafometrica è facoltativo nel senso che richiede il consenso esplicito, che può essere rifiutato. In caso di rifiuto, il documento potrà essere firmato con modalità alternative (carta o metodo digitale non biometrico). Il rifiuto non comporta alcun altro pregiudizio.

9. Processo decisionale automatizzato

Non viene effettuato alcun processo decisionale automatizzato né profilazione ai sensi dell'Art. 22 GDPR. Il processo di firma non produce alcuna decisione automatizzata con effetti giuridici o analoga significatività al di là della creazione del documento firmato.

Firma Elettronica Avanzata (FEA) conforme al DPCM 22/02/2013. La firma include un timestamp certificato RFC 3161 (eIDAS Art. 26).

Spunta entrambe le caselle per procedere con la firma digitale.