Privacy Policy — Fatturbo

La presente informativa descrive come vengono trattati i dati personali degli utenti del servizio Fatturbo, accessibile dal sito fatturbo.it. È resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 ("Codice Privacy"), come modificato dal D.Lgs. 101/2018. Ti invitiamo a leggerla con attenzione prima di utilizzare il servizio.

Indice

Titolare del trattamento
Definizioni
Categorie di dati trattati
Dati personali di terzi contenuti nei documenti (art. 14 GDPR)
Finalità del trattamento e basi giuridiche
Natura del conferimento
Ruoli: titolare e responsabile del trattamento (servizio multi-utente)
Modalità del trattamento e misure di sicurezza
Categorie particolari di dati
Assenza di processo decisionale automatizzato e uso dell'intelligenza artificiale
Destinatari e responsabili esterni
Trasferimenti di dati verso Paesi terzi
Periodo di conservazione
Diritti dell'interessato
Reclamo all'autorità di controllo
Modifiche all'informativa
Contatti

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite Fatturbo è Rennovo S.r.l., con sede legale in Via Panfilo Castaldi 25, 20124 Milano (MI), P.IVA 13607280966 (di seguito anche "Titolare", "noi" o "Fornitore"), che gestisce ed eroga il servizio Fatturbo.

Per qualsiasi richiesta in materia di protezione dei dati personali o per esercitare i tuoi diritti puoi scrivere a gestioni@rennovo.it.

Il Titolare non è tenuto alla nomina di un Responsabile della protezione dei dati (DPO/RPD) ai sensi dell'art. 37 GDPR; qualora venga nominato, i relativi contatti saranno indicati in questa pagina.

2. Definizioni

Servizio / Fatturbo: l'applicazione online che consente di caricare fatture passive estere in PDF, estrarne i dati e generare le autofatture elettroniche in reverse charge conformi al formato FatturaPA.
Utente: la persona fisica o giuridica che si registra e utilizza il Servizio.
Interessato: la persona fisica cui si riferiscono i dati personali.
Documenti: i file (es. fatture estere in PDF) caricati dall'Utente e i dati da essi estratti.

3. Categorie di dati trattati

Nell'ambito del Servizio trattiamo le seguenti categorie di dati personali:

Dati di registrazione e account: indirizzo email e password (conservata esclusivamente in forma cifrata tramite funzioni di hashing), oltre alle informazioni inserite per configurare l'account.
Dati dell'attività dell'Utente: ragione sociale o nome e cognome, partita IVA, codice fiscale, indirizzo, regime fiscale e altri dati anagrafico-fiscali necessari per intestare correttamente le autofatture.
Contenuto dei documenti caricati: i PDF delle fatture e i dati estratti (denominazione del fornitore, importi, valuta, date, numeri di documento, descrizioni). Tali documenti possono contenere dati personali di terzi (vedi punto 4).
Dati relativi ai pagamenti: qualora vengano attivati piani a pagamento, i dati necessari alla fatturazione e all'incasso (trattati dai relativi fornitori di pagamento in qualità di autonomi titolari o responsabili).
Dati tecnici e di utilizzo: indirizzo IP, data e ora degli accessi, log applicativi, tipo di browser e dispositivo, e informazioni sull'uso del Servizio, trattati per sicurezza e corretto funzionamento. Conserviamo inoltre statistiche d'uso in forma aggregata e anonima (prive di dati identificativi), utilizzate per analizzare la domanda e migliorare il Servizio.
Dati della demo pubblica del sito: i file caricati nella demo "prova senza registrarti" vengono elaborati esclusivamente in memoria, per la sola estrazione dei dati, e non vengono conservati. Se generi e scarichi l'autofattura di prova, anche l'XML e i dati della società che inserisci nel modulo non vengono salvati: registriamo soltanto la partita IVA destinataria e un conteggio per indirizzo IP, al solo fine di limitare gli abusi (una prova gratuita per partita IVA).

4. Dati personali di terzi contenuti nei documenti (art. 14 GDPR)

I documenti caricati dall'Utente possono contenere dati personali riferiti a soggetti diversi dall'Utente (ad esempio persone fisiche indicate nelle fatture dei fornitori esteri). Tali dati sono raccolti indirettamente, ossia non presso l'interessato: la fonte di questi dati è il documento caricato dall'Utente.

Rispetto a tali dati, l'Utente agisce come titolare autonomo del trattamento ed è tenuto agli obblighi informativi previsti dall'art. 14 GDPR nei confronti dei relativi interessati, ove dovuti e salve le eccezioni di legge (art. 14, par. 5, GDPR). Fatturbo tratta tali dati esclusivamente come responsabile del trattamento per conto dell'Utente, secondo quanto indicato al punto 7.

5. Finalità del trattamento e basi giuridiche

Finalità	Base giuridica (art. 6 GDPR)
Erogazione del Servizio: estrazione dei dati dalle fatture, generazione delle autofatture (XML conforme FatturaPA e PDF di cortesia), applicazione del cambio Banca d'Italia, esportazione per lo SDI o per il gestionale.	Esecuzione del contratto o di misure precontrattuali (art. 6.1.b).
Creazione e gestione dell'account e assistenza all'Utente.	Esecuzione del contratto (art. 6.1.b).
Sicurezza del Servizio, prevenzione di abusi e frodi, gestione dei log.	Legittimo interesse del Titolare (art. 6.1.f).
Adempimento di obblighi di legge, contabili e fiscali; gestione di richieste delle autorità.	Obbligo legale (art. 6.1.c).
Riscontro alle richieste di esercizio dei diritti e gestione del contenzioso.	Obbligo legale (art. 6.1.c) e legittimo interesse (art. 6.1.f).
Eventuali comunicazioni di servizio o, ove previsto, informative commerciali.	Esecuzione del contratto (art. 6.1.b) o consenso (art. 6.1.a), ove richiesto.

6. Natura del conferimento

Il conferimento dei dati di registrazione e dei dati anagrafico-fiscali è necessario per la fruizione del Servizio: il mancato conferimento rende impossibile la creazione dell'account e la generazione delle autofatture. Il conferimento dei dati per finalità ulteriori facoltative (es. comunicazioni commerciali) è libero e l'eventuale rifiuto non pregiudica l'uso del Servizio.

7. Ruoli: titolare e responsabile del trattamento (servizio multi-utente)

In relazione ai dati personali di terzi contenuti nei documenti caricati, l'Utente è titolare del trattamento (decide finalità e mezzi), mentre Rennovo S.r.l. agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR, trattando tali dati esclusivamente su istruzione documentata dell'Utente e per le sole finalità di erogazione del Servizio.

L'accettazione dei Termini di servizio vale anche come nomina a responsabile del trattamento e disciplina, in particolare, che il Fornitore: tratta i dati solo su istruzione dell'Utente; garantisce la riservatezza delle persone autorizzate; adotta le misure di sicurezza di cui al punto 8; ricorre a sub-responsabili nel rispetto degli obblighi di legge (punto 11); assiste l'Utente nel riscontro ai diritti degli interessati e negli adempimenti in materia di sicurezza e violazioni dei dati; al termine del rapporto cancella o restituisce i dati su scelta dell'Utente; rende disponibili le informazioni necessarie a dimostrare la conformità.

8. Modalità del trattamento e misure di sicurezza

I dati sono trattati con strumenti informatici e telematici, adottando misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui in particolare:

cifratura dei dati in transito (protocollo TLS/HTTPS) e a riposo;
controllo degli accessi con autenticazione, autorizzazioni per ruolo e principio del minimo privilegio;
isolamento logico dei dati tra i diversi Utenti del Servizio (architettura multi-utente con segregazione dei dati);
backup periodici e procedure di ripristino;
registrazione degli eventi (log) e monitoraggio per finalità di sicurezza;
verifiche periodiche dell'efficacia delle misure adottate.

9. Categorie particolari di dati

Il Servizio non è destinato al trattamento delle categorie particolari di dati di cui all'art. 9 GDPR (es. dati relativi alla salute, all'origine etnica, alle convinzioni religiose o politiche, dati biometrici o genetici). Una fattura ordinaria non dovrebbe contenere tali dati. L'Utente è tenuto a non inserire né caricare categorie particolari di dati non necessarie alle finalità del Servizio e resta responsabile della liceità dei contenuti caricati.

10. Assenza di processo decisionale automatizzato e uso dell'intelligenza artificiale

Il Servizio utilizza tecnologie di intelligenza artificiale per l'estrazione automatica dei dati dai documenti caricati (lettura e riconoscimento dei campi della fattura). Tale trattamento non costituisce un processo decisionale automatizzato ai sensi dell'art. 22 GDPR e non produce effetti giuridici o significativi sugli interessati: i dati estratti sono sempre sottoposti alla verifica e alla conferma dell'Utente prima della generazione e dell'invio dell'autofattura. Il sistema effettua una mera lettura dei dati e non compie valutazioni sulle persone.

11. Destinatari e responsabili esterni

Per erogare il Servizio ci avvaliamo di fornitori che trattano i dati per nostro conto in qualità di responsabili del trattamento (art. 28 GDPR), vincolati da apposito accordo e tenuti agli stessi obblighi di protezione dei dati. I principali sono:

Supabase — database e funzioni server-side, con dati ospitati su server situati nell'Unione Europea;
OVHcloud — hosting dell'applicazione, con server situati nell'Unione Europea;
OpenAI — quando è attiva l'estrazione assistita da intelligenza artificiale, il testo della fattura caricata viene inviato a OpenAI per l'estrazione automatica dei campi (vedi punto 12);
fornitore di posta elettronica — per l'invio delle comunicazioni di servizio.

I dati non vengono diffusi né ceduti a terzi per loro finalità proprie. Possono inoltre essere comunicati ad autorità pubbliche, organi di vigilanza e consulenti, nei casi e nei limiti previsti dalla legge.

12. Trasferimenti di dati verso Paesi terzi

I dati sono trattati in via primaria all'interno dell'Unione Europea. Quando attivi l'estrazione assistita da intelligenza artificiale, il testo della fattura è trasmesso a OpenAI, fornitore con sede negli Stati Uniti. Tale trasferimento avviene sulla base di adeguate garanzie ai sensi dell'art. 46, par. 2, lett. c) del GDPR, ossia le Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea. I dati trasmessi tramite API non vengono utilizzati per addestrare i modelli e sono conservati dal fornitore per un periodo limitato (di norma fino a 30 giorni) ai soli fini dell'erogazione del servizio e della prevenzione degli abusi, salvi gli obblighi di legge. Puoi richiedere informazioni sulle garanzie adottate scrivendo a gestioni@rennovo.it.

13. Periodo di conservazione

Dati dell'account: per tutta la durata del rapporto contrattuale e, successivamente, per il tempo necessario ad adempiere agli obblighi di legge e a far valere o difendere un diritto.
Documenti e autofatture generate: i documenti rilevanti ai fini fiscali e contabili sono conservati per i termini previsti dalla legge, in particolare almeno 10 anni (art. 2220 c.c. e normativa fiscale applicabile).
File della demo pubblica: non conservati (elaborati esclusivamente in memoria).
Indirizzi IP e log: conservati per il tempo strettamente necessario alle finalità di sicurezza e poi cancellati o anonimizzati.
Backup: conservati per il tempo tecnicamente necessario alla loro rotazione, secondo policy di sicurezza.

Puoi richiedere in qualsiasi momento la cancellazione del tuo account e dei dati associati, fatti salvi gli obblighi di conservazione di legge.

14. Diritti dell'interessato

In qualità di interessato hai diritto, nei limiti e alle condizioni previste dagli artt. 15-22 del GDPR, di:

accedere ai tuoi dati personali e ottenerne copia (art. 15);
chiederne la rettifica (art. 16) e la cancellazione (art. 17);
ottenere la limitazione del trattamento (art. 18);
ottenere la portabilità dei dati (art. 20);
opporti al trattamento fondato sul legittimo interesse (art. 21);
revocare il consenso in qualsiasi momento, ove il trattamento sia basato sul consenso, senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Per esercitare i tuoi diritti puoi scrivere a gestioni@rennovo.it. Risponderemo senza ingiustificato ritardo e comunque entro i termini di legge.

15. Reclamo all'autorità di controllo

Hai il diritto di proporre reclamo all'autorità di controllo competente, ai sensi dell'art. 77 GDPR e degli artt. 141 e ss. del Codice Privacy:

Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma
Centralino: (+39) 06.696771
Email: protocollo@gpdp.it — PEC: protocollo@pec.gpdp.it
Sito web: www.garanteprivacy.it

Resta impregiudicata la facoltà di ricorrere all'autorità giudiziaria ai sensi dell'art. 79 GDPR.

16. Modifiche all'informativa

Il Titolare si riserva di aggiornare la presente informativa per adeguarla a modifiche normative o del Servizio. La versione vigente è sempre pubblicata su questa pagina, con indicazione della data di ultimo aggiornamento. Le modifiche rilevanti potranno esserti comunicate anche via email o tramite il Servizio.

17. Contatti

Per qualsiasi domanda relativa al trattamento dei dati personali: gestioni@rennovo.it.

Questo documento descrive il trattamento dei dati personali da parte del servizio Fatturbo. Le condizioni d'uso del Servizio sono indicate nei Termini di servizio.