Informativa sulla Privacy
Ultimo aggiornamento: 26 marzo 2026 — Versione v2.0
Informativa resa ai sensi degli artt. 13-14 del Regolamento (UE) 2016/679 (“GDPR”), del D.Lgs. 30 giugno 2003, n. 196 (“Codice Privacy”) come modificato dal D.Lgs. 10 agosto 2018, n. 101, e del Regolamento (UE) 2024/1689 (“AI Act”).
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è FiscoZone S.r.l., con sede legale in [Indirizzo sede legale], P.IVA [XXXXXXXXXXX] (di seguito “Titolare”, “FiscoZone” o “Piattaforma”).
- E-mail privacy: privacy@fiscozone.it
- PEC: fiscozone@pec.it
- Referente Privacy / DPO: dpo@fiscozone.it
2. Definizioni
Ai fini della presente informativa si intende per:
- Titolare del trattamento (Controller):la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali.
- Responsabile del trattamento (Processor): la persona fisica o giuridica che tratta i dati personali per conto del Titolare.
- Interessato (Data Subject): la persona fisica identificata o identificabile i cui dati personali sono oggetto di trattamento.
- Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4, par. 1, GDPR).
- Trattamento:qualsiasi operazione o insieme di operazioni compiute su dati personali, con o senza l'ausilio di processi automatizzati (art. 4, par. 2, GDPR).
- DPA (Data Processing Agreement):accordo per il trattamento dei dati ai sensi dell'art. 28 GDPR, obbligatorio tra Titolare e Responsabile.
3. Categorie di dati trattati
FiscoZone tratta diverse categorie di dati personali in funzione del ruolo dell'utente sulla Piattaforma.
3.1 Freelancer (Utente principale)
- Dati anagrafici: nome, cognome, titolo professionale, indirizzo e-mail, codice fiscale (cifrato AES-256-GCM), partita IVA
- Dati fiscali:regime fiscale, codice ATECO, coefficiente di redditività, anno di apertura partita IVA, fatture emesse e ricevute, reddito imponibile, imposte calcolate (sostitutiva, INPS, acconti), transazioni
- Dati bancari: IBAN (cifrato AES-256-GCM), nome banca, BIC/SWIFT
- Dati di contatto: PEC, telefono, indirizzo completo (via, CAP, comune, provincia)
- Documenti: contratti, preventivi, lettere di incarico, firma digitale salvata
- Dati dei clienti del freelancer: denominazione, P.IVA, codice fiscale, indirizzo, PEC, codice SDI, e-mail, telefono
- Dati di navigazione: indirizzo IP, user agent, pagine visitate, data e ora di accesso, cookie
- Dati di autenticazione: hash della password (bcrypt), chiavi pubbliche Passkey/WebAuthn, segreto TOTP (cifrato AES-256-GCM), codici di backup
3.2 Commercialista
- Dati identificativi professionali: nome, cognome, e-mail, titolo, numero iscrizione albo
- Dati dello studio: denominazione studio, indirizzo, telefono, PEC, partita IVA dello studio, specializzazioni
- Dati dei clienti gestiti:il commercialista accede ai dati dei propri clienti freelancer in qualità di Titolare autonomo del trattamento (v. sezione 12)
3.3 Clienti dei freelancer
I dati anagrafici e fiscali dei clienti dei freelancer (denominazione, P.IVA, codice fiscale, indirizzo, PEC, codice SDI, e-mail, telefono) sono inseriti direttamente dal freelancer, che ne è Titolare del trattamento. FiscoZone li tratta in qualità di Responsabile del trattamento.
4. Finalità e base giuridica del trattamento
I dati personali sono trattati per le seguenti finalità, ciascuna fondata su una specifica base giuridica ai sensi dell'art. 6 GDPR:
| Finalità | Base giuridica (art. 6 GDPR) | Dettaglio |
|---|---|---|
| Registrazione e gestione account | Esecuzione del contratto — art. 6(1)(b) | Creazione account, onboarding, gestione profilo e preferenze |
| Erogazione dei servizi principali | Esecuzione del contratto — art. 6(1)(b) | Fatturazione, calcolo imposte e contributi INPS, gestione clienti, preventivi, contratti, prodotti/servizi |
| Elaborazione pagamenti e abbonamenti | Esecuzione del contratto — art. 6(1)(b) | Gestione abbonamento via Stripe, POS Stripe Connect, link di pagamento |
| Adempimento obblighi di legge | Obbligo legale — art. 6(1)(c) | Conservazione fatture per 10 anni (art. 2220 c.c.), fatturazione elettronica SDI, obblighi fiscali |
| Cookie analitici e di marketing | Consenso — art. 6(1)(a) | Vercel Web Analytics (con consenso). Cookie di marketing predisposti ma non attivi |
| Newsletter e comunicazioni promozionali | Consenso — art. 6(1)(a) | Invio di aggiornamenti, novità e contenuti informativi |
| Visibilità dati anagrafici agli amministratori | Consenso — art. 6(1)(a) | Di default i dati sono pseudonimizzati; con consenso l'admin può visualizzare nome ed e-mail per assistenza |
| Trattamento dati tramite Intelligenza Artificiale | Consenso esplicito — art. 6(1)(a) GDPR + art. 9 AI Act | Generazione contratti, analisi documenti, chat IA, preventivi, cover letter (v. sezione 5) |
| DPA commercialisti | Consenso — art. 6(1)(a) / Obbligo legale — art. 28 GDPR | Accettazione dell'accordo di trattamento dati da parte dei commercialisti |
| Sicurezza della piattaforma | Legittimo interesse — art. 6(1)(f) | Prevenzione frodi, protezione da accessi non autorizzati, monitoraggio anomalie |
| Audit log | Legittimo interesse — art. 6(1)(f) | Registrazione delle operazioni per tracciabilità, accountability e sicurezza (hash chain SHA-256) |
| Miglioramento del servizio | Legittimo interesse — art. 6(1)(f) | Analisi aggregate anonime, feedback degli utenti, ottimizzazione UX |
| Comunicazioni di servizio | Legittimo interesse — art. 6(1)(f) | Notifiche operative, aggiornamenti di stato fatture, scadenze, comunicazioni tra utente e commercialista |
5. Trattamento dati tramite Intelligenza Artificiale
FiscoZone offre funzionalità basate sull'Intelligenza Artificiale (IA) che richiedono il trattamento di dati personali dell'utente. L'utilizzo di tali funzionalità è sempre subordinato al consenso esplicito dell'utente, revocabile in qualsiasi momento.
5.1 Funzionalità che utilizzano l'IA
- Generazione automatica di contratti e lettere di incarico
- Analisi e revisione di documenti contrattuali
- Chat con assistente IA per quesiti fiscali e professionali
- Generazione automatica di preventivi
- Generazione di cover letter professionali
- Estrazione dati da documenti PDF
- Assistenza nell'onboarding e compilazione profilo fiscale
5.2 Dati inviati ai provider IA
A seconda della funzionalità utilizzata, possono essere trasmessi ai provider IA: dati anagrafici, dati fiscali (regime, codice ATECO), contenuto di contratti, preventivi, fatture e documenti caricati dall'utente. I dati sensibili (codice fiscale, IBAN) possono essere anonimizzati automaticamenteprima dell'invio se l'utente attiva l'opzione di minimizzazione dei dati nelle Impostazioni.
5.3 Provider IA utilizzati
| Provider | Servizio | Sede | Note |
|---|---|---|---|
| xAI (Grok) | Modello linguistico principale (generazione testi, analisi, chat) | USA | Solo con consenso esplicito |
| OpenAI | Embeddings per ricerca semantica (>33K token) | USA | Solo con consenso esplicito |
| Alibaba Cloud | Embeddings per ricerca semantica (≤33K token) | USA/UE | Solo con consenso esplicito |
5.4 Base giuridica e garanzie
- Base giuridica:consenso esplicito ai sensi dell'art. 6(1)(a) GDPR e dell'art. 9 del Regolamento (UE) 2024/1689 (AI Act)
- Minimizzazione:opzione di anonimizzazione automatica dei dati PII (codice fiscale, IBAN) prima dell'invio al provider IA. Attivabile/disattivabile nelle Impostazioni (attiva per impostazione predefinita)
- Conservazione: i dati inviati ai provider IA non vengono conservatioltre il tempo strettamente necessario all'elaborazione della singola richiesta. Il tracciamento dei token utilizzati è anonimo e a fini di fatturazione interna
- Revoca:l'utente può revocare il consenso all'utilizzo dell'IA in qualsiasi momento dalla sezione “Impostazioni > Privacy & Dati”. La revoca non pregiudica la liceità del trattamento effettuato prima della revoca
- Versioning del consenso:ogni consenso IA è associato a una versione del documento informativo, registrata con data e ora
6. Destinatari e sub-responsabili del trattamento
I dati personali potranno essere comunicati ai seguenti destinatari, che agiscono in qualità di sub-responsabili del trattamento ai sensi dell'art. 28 GDPR, salvo diversamente specificato:
| Sub-responsabile | Finalità | Sede / Infrastruttura | Note |
|---|---|---|---|
| Supabase (AWS EU) | Database PostgreSQL, storage file e documenti | UE (AWS eu-central-1) | Dati cifrati at-rest (AES-256) |
| Vercel Inc. | Hosting applicativo, CDN, AI Gateway, Web Analytics | USA / Edge globale | Standard Contractual Clauses (SCC) |
| Stripe Inc. | Pagamenti, abbonamenti, Stripe Connect (POS) | USA / UE | PCI DSS Level 1, SCC |
| xAI Corp. | Servizi IA — modello Grok | USA | Solo con consenso esplicito dell'utente |
| OpenAI Inc. | Embeddings per ricerca semantica (>33K token) | USA | Solo con consenso esplicito dell'utente |
| Alibaba Cloud | Embeddings per ricerca semantica (≤33K token) | USA / UE | Solo con consenso esplicito dell'utente |
| Simple Analytics | Analytics del sito web | UE (Paesi Bassi) | Nessun cookie, nessun dato personale raccolto |
Ulteriori destinatari possono includere:
- Sistema di Interscambio (SDI):Agenzia delle Entrate, per l'invio e la ricezione di fatture elettroniche
- Commercialisti:professionisti autorizzati dall'utente tramite il sistema di deleghe della Piattaforma (v. sezione 13)
- Autorità competenti:quando richiesto dalla legge o da provvedimenti dell'Autorità giudiziaria
7. Trasferimento dati extra-UE
Alcuni dei sub-responsabili indicati alla sezione 6 hanno sede o trattano dati al di fuori dello Spazio Economico Europeo (SEE). In tali casi, il trasferimento avviene nel rispetto degli artt. 44-49 GDPR, sulla base delle seguenti garanzie:
| Destinatario | Paese | Garanzia | Condizione |
|---|---|---|---|
| Vercel Inc. | USA | Standard Contractual Clauses (SCC) | Sempre (hosting) |
| Stripe Inc. | USA | SCC + PCI DSS | Solo in caso di pagamento |
| xAI Corp. | USA | Standard Contractual Clauses (SCC) | Solo con consenso esplicito |
| OpenAI Inc. | USA | Standard Contractual Clauses (SCC) | Solo con consenso esplicito |
L'utente può richiedere copia delle clausole contrattuali standard scrivendo a privacy@fiscozone.it.
8. Misure di sicurezza (art. 32 GDPR)
FiscoZone adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, tra cui:
- Cifratura in transito: tutte le comunicazioni avvengono tramite protocollo HTTPS con TLS 1.2 o superiore
- Cifratura at-rest: il database PostgreSQL (Supabase) utilizza cifratura AES-256 a livello di storage
- Cifratura column-level: i campi particolarmente sensibili (codice fiscale, IBAN, segreto TOTP) sono cifrati singolarmente con algoritmo AES-256-GCM e chiave dedicata
- Hashing password: le password sono memorizzate come hash bcrypt irreversibile; non sono mai conservate in chiaro
- Autenticazione multi-fattore: supporto per TOTP (app Authenticator) e Passkey/WebAuthn (FIDO2) con challenge crittografico
- Controllo degli accessi (RBAC):sistema granulare di ruoli e permessi con possibilità di override per singolo amministratore, integrato con il sistema di deleghe per i commercialisti
- Pseudonimizzazione:nelle viste amministrative, i dati degli utenti sono pseudonimizzati (“Utente #XXXX”) per impostazione predefinita. La visualizzazione dei dati anagrafici richiede il consenso esplicito dell'utente
- Audit log tamper-proof:ogni operazione rilevante è registrata in un log immutabile con catena di hash SHA-256 (blockchain-like), che include utente, azione, risorsa, timestamp, indirizzo IP e user agent
- Cookie banner granulare:gestione dei consensi cookie con possibilità di personalizzazione per categoria (necessari, analitici, marketing) e registrazione del consenso con timestamp
- Logging del consenso:ogni espressione o revoca di consenso è registrata nel database con data, tipo e versione del documento
9. Periodo di conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per le quali sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5(1)(e) GDPR):
| Tipologia di dati | Periodo di conservazione | Motivazione |
|---|---|---|
| Dati dell'account | Durata del rapporto + 5 anni | Tutela legale e gestione post-contrattuale |
| Fatture e documenti fiscali | 10 anni dalla data di emissione | Obbligo legale (art. 2220 c.c., normativa fiscale italiana) |
| Contratti e preventivi | Durata del rapporto + 10 anni | Prescrizione ordinaria e tutela legale |
| Comunicazioni (thread e messaggi) | Durata del rapporto + 2 anni | Gestione assistenza e contestazioni |
| Dati elaborati tramite IA | Nessuna conservazione | Elaborati in tempo reale e non persistiti oltre la singola richiesta |
| Cookie analitici (Vercel Web Analytics) | 26 mesi | Linee guida Garante Privacy |
| Log di audit | 5 anni | Accountability, sicurezza e conformità normativa |
| Dati di pagamento (Stripe) | Secondo la policy di Stripe | FiscoZone non memorizza dati di carte di credito |
| Dati waiting list | Fino a revoca del consenso | Base giuridica: consenso |
| Log di consenso | 5 anni dalla registrazione | Prova del consenso prestato (accountability) |
Alla scadenza dei periodi di conservazione, i dati vengono cancellati in modo sicuro o anonimizzati in modo irreversibile.
10. Diritti dell'interessato (artt. 15-22 GDPR)
In qualità di Interessato, l'utente ha i seguenti diritti, esercitabili in qualsiasi momento:
- Diritto di accesso (art. 15):ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati personali. L'utente può consultare i propri dati direttamente nella Piattaforma
- Diritto di rettifica (art. 16):ottenere la correzione di dati inesatti o l'integrazione di dati incompleti. Modificabile dalle Impostazioni del profilo
- Diritto alla cancellazione (art. 17):ottenere la cancellazione dei propri dati (“diritto all'oblio”). La Piattaforma mette a disposizione un pulsante dedicato nella sezione “Impostazioni > Privacy & Dati”. La cancellazione non si applica ai dati soggetti a obbligo di conservazione legale (es. fatture per 10 anni)
- Diritto di limitazione (art. 18): richiedere la limitazione del trattamento in determinati casi previsti dalla legge
- Diritto alla portabilità (art. 20):ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON/ZIP). La funzione “Esporta i tuoi dati” è disponibile nella sezione “Impostazioni > Privacy & Dati”
- Diritto di opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse del Titolare, per motivi connessi alla propria situazione particolare
- Diritto alla revoca del consenso (art. 7, par. 3):revocare in qualsiasi momento il consenso prestato per uno o più trattamenti specifici. La revoca non pregiudica la liceità del trattamento effettuato prima della revoca. Toggle dedicati sono disponibili nella sezione “Impostazioni > Privacy & Dati” per: visibilità dati admin, consenso IA, newsletter, cookie analitici e di marketing
- Diritto di reclamo (art. 77):proporre reclamo all'Autorità di controllo competente — Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma, e-mail: garante@gpdp.it, sito web: www.gpdp.it
Per esercitare i propri diritti, l'utente può utilizzare le funzionalità integrate nella Piattaforma (Impostazioni > Privacy & Dati) oppure scrivere a privacy@fiscozone.it o alla PEC fiscozone@pec.it. Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta, salvo proroga motivata di ulteriori 60 giorni in caso di complessità (art. 12, par. 3, GDPR).
11. Cookie
La Piattaforma utilizza cookie e tecnologie analoghe. Di seguito un riepilogo; per informazioni dettagliate si rimanda alla Cookie Policy.
| Categoria | Stato | Descrizione |
|---|---|---|
| Cookie necessari | Sempre attivi | Sessione, autenticazione (CSRF, token), consenso cookie. Indispensabili per il funzionamento |
| Cookie analitici | Con consenso | Vercel Web Analytics. Simple Analytics non utilizza cookie e non raccoglie dati personali |
| Cookie di marketing | Predisposti, non attivi | Attualmente non utilizzati. L'opzione è predisposta per future integrazioni |
L'utente può gestire le proprie preferenze cookie in qualsiasi momento tramite il banner personalizzabile o l'icona cookie presente nell'angolo inferiore sinistro della pagina.
12. Ruoli GDPR nella Piattaforma
Per garantire la massima trasparenza, si chiariscono i ruoli assunti dai diversi soggetti ai sensi del GDPR:
| Soggetto | Ruolo GDPR | Descrizione |
|---|---|---|
| FiscoZone S.r.l. | Titolare del trattamento (Controller) per i propri servizi; Responsabile del trattamento (Processor) per i dati dei clienti dei freelancer | Determina le finalità del trattamento per l'erogazione dei servizi. Tratta i dati dei clienti dei freelancer per conto dei freelancer stessi |
| Freelancer | Interessato + Titolare del trattamento (Controller) per i dati dei propri clienti | È l'utente della Piattaforma i cui dati sono trattati; è Titolare autonomo per i dati dei propri clienti inseriti nella Piattaforma |
| Commercialista | Titolare autonomo del trattamento (Controller) per i dati dei propri clienti | Accede ai dati dei freelancer in virtù della delega ricevuta. È tenuto alla sottoscrizione del DPA (art. 28 GDPR) al momento della registrazione |
| Clienti dei freelancer | Interessati | I loro dati sono inseriti dal freelancer per finalità di fatturazione e gestione del rapporto professionale |
Il DPA (Data Processing Agreement)è obbligatorio per i commercialisti e deve essere accettato in fase di registrazione sulla Piattaforma, ai sensi dell'art. 28 GDPR. La data di accettazione è registrata e consultabile nel profilo del commercialista.
13. Gestione deleghe commercialista
La Piattaforma implementa un sistema di deleghe che consente al freelancer di autorizzare un commercialista ad accedere ai propri dati, nel rispetto del principio di minimizzazione (art. 5(1)(c) GDPR).
Come funziona
- Il freelancer delega esplicitamente il commercialista, selezionandolo tra quelli registrati sulla Piattaforma o accettando una richiesta di delega
- La delega è configurabile per livello di accesso: nessun accesso, sola lettura, gestione completa
- La delega è configurabile per area funzionale: fatture, tasse, clienti, contratti, preventivi, documenti, comunicazioni
- Ogni azione compiuta dal commercialista per conto del freelancer è tracciata nell'audit logcon indicazione dell'operatore, dell'azione, della risorsa e del timestamp
- Il freelancer può revocare la delegain qualsiasi momento, con effetto immediato, dalla sezione “Impostazioni” della Piattaforma
14. Visibilità dati agli amministratori
In ossequio ai principi di trasparenza e minimizzazione dei dati, la Piattaforma adotta le seguenti politiche di accesso per gli amministratori:
- Per impostazione predefinita: gli amministratori vedono i dati degli utenti in forma pseudonimizzata(“Utente #XXXX”), senza accesso a nome, cognome o e-mail
- Con consenso esplicito dell'utente:se l'utente attiva l'opzione “Visibilità dati admin” nelle Impostazioni, gli amministratori potranno visualizzare i dati anagrafici (nome, cognome, e-mail) esclusivamente per finalità di assistenza tecnica e supporto
- Mai visibili agli amministratori: indipendentemente dal consenso, gli amministratori non hanno mai accessoa: fatture, documenti fiscali, contratti, preventivi, comunicazioni private, IBAN, codice fiscale e qualsiasi altro dato finanziario o professionale dell'utente
15. Modifiche alla presente informativa
Il Titolare si riserva il diritto di modificare, aggiornare o integrare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della nuova data di ultimo aggiornamento e del numero di versione.
In caso di modifiche sostanzialiche incidano sulle finalità del trattamento, sulle categorie di dati trattati o sui diritti degli interessati, FiscoZone provvederà a informare gli utenti tramite:
- Notifica via e-mail all'indirizzo registrato
- Avviso sulla Piattaforma al primo accesso successivo alla modifica
- Eventuale richiesta di nuovo consenso, ove necessario
Si consiglia di consultare periodicamente questa pagina per verificare eventuali aggiornamenti. Le versioni precedenti dell'informativa sono disponibili su richiesta.
16. Contatti
Per qualsiasi domanda relativa alla presente informativa, al trattamento dei dati personali o all'esercizio dei propri diritti, è possibile contattarci ai seguenti recapiti:
- E-mail: privacy@fiscozone.it
- Referente Privacy / DPO: dpo@fiscozone.it
- PEC: fiscozone@pec.it
- Indirizzo: [Indirizzo sede legale], Italia
Autorità di controllo:Garante per la Protezione dei Dati Personali — Piazza Venezia 11, 00187 Roma — garante@gpdp.it — www.gpdp.it
