INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679
1. TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento dei dati personali è:
Sede legale: Via Don Fadini 2903, Urgnano (BG), Italia
Indirizzo PEC: spingysrl@pec.it
2. TIPOLOGIA DI DATI TRATTATI
In relazione alla stipula e all'esecuzione del contratto di licenza d'uso del software Spingy, il Titolare tratta le seguenti categorie di dati personali:
a) Dati identificativi e di contatto
• Denominazione/ragione sociale dell'impresa Cliente
• Nome e cognome del legale rappresentante o del rappresentante autorizzato
• Codice fiscale e Partita IVA
• Indirizzo della sede legale e/o operativa
• Indirizzo email ordinario e/o certificato (PEC)
• Indirizzo del punto vendita presso cui viene utilizzato il Servizio
b) Dati contrattuali ed economici
• Dati relativi all'abbonamento sottoscritto (tipologia di piano: mensile, semestrale, annuale)
• Storico degli ordini e dei Prodotti acquistati
• Importi e modalità di pagamento
• Dati relativi alle fatture emesse (in particolare: denominazione, indirizzo, partita IVA, codice fiscale, codice destinatario SDI o PEC per fatturazione elettronica)
• Storico delle comunicazioni con il Servizio di assistenza
c) Dati di navigazione e utilizzo del Servizio
• Credenziali di accesso (indirizzo email e password criptata)
• Dati di log relativi all'accesso e all'utilizzo del Software (data e ora di accesso, indirizzo IP, browser utilizzato)
• Dati statistici e aggregati relativi all'utilizzo delle funzionalità del Software (numero di QR code generati, buoni
d) Dati relativi al metodo di pagamento
Il Titolare non tratta direttamente i dati relativi agli strumenti di pagamento (carte di credito, conti correnti, ecc.). I pagamenti vengono elaborati tramite la piattaforma Stripe, che gestisce i dati di pagamento in qualità di responsabile del trattamento autonomo secondo i propri standard di sicurezza e conformità PCI-DSS. Il Titolare riceve da Stripe esclusivamente la conferma dell'esito del pagamento e i dati necessari all'emissione della fattura.
3. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO
I dati personali sono trattati per le seguenti finalità e sulla base delle seguenti basi giuridiche:
a) Esecuzione del contratto (art. 6, par. 1, lett. b, GDPR)
• Gestione della registrazione e creazione dell'account Cliente
• Erogazione del Servizio di licenza d'uso del Software e del Format
• Gestione degli abbonamenti (sottoscrizione, rinnovo automatico, disdetta)
• Elaborazione degli ordini e gestione dei pagamenti
• Fornitura dei Servizi di assistenza tecnica
• Erogazione degli Aggiornamenti del Software
• Gestione delle comunicazioni relative al corretto funzionamento del Servizio
• Gestione delle segnalazioni di malfunzionamenti
b) Adempimento di obblighi di legge (art. 6, par. 1, lett. c, GDPR)
• Emissione di fatture elettroniche e adempimenti contabili e fiscali (D.P.R. 633/1972 e normativa fiscale vigente)
• Conservazione delle scritture contabili per i termini previsti dalla legge
• Adempimenti in materia di antiriciclaggio (D.Lgs. 231/2007), ove applicabili
• Rispetto di obblighi derivanti da norme di legge, regolamenti, normativa europea
• Adempimenti richiesti da Autorità pubbliche o giudiziarie su richiesta
c) Legittimo interesse del Titolare (art. 6, par. 1, lett. f, GDPR)
• Prevenzione delle frodi e degli utilizzi non autorizzati del Servizio
• Tutela dei diritti di proprietà intellettuale del Titolare sul Software e sul Format
• Difesa in giudizio e accertamento, esercizio o difesa di un diritto del Titolare in sede giudiziaria o stragiudiziale
• Verifica della correttezza dei dati di fatturazione forniti dal Cliente e prevenzione di errori nella fatturazione
• Analisi statistiche aggregate (anonimizzate) per il miglioramento del Servizio
• Gestione di reclami e contenziosi
Il conferimento dei dati per le finalità di cui alle lettere a) e b) è obbligatorio per la conclusione e l'esecuzione del contratto. Il mancato conferimento comporta l'impossibilità di perfezionare il contratto e di erogare il Servizio.
4. PERIODO DI CONSERVAZIONE DEI DATI
I dati personali sono conservati per il tempo necessario alle finalità per le quali sono stati raccolti, nel rispetto dei seguenti criteri:• Dati contrattuali e di utilizzo del Servizio: per tutta la durata del contratto e, successivamente alla cessazione, per il periodo di prescrizione ordinaria dei diritti derivanti dal contratto (10 anni ai sensi dell'art. 2946 c.c.), salvo necessità di conservazione più lunga per la difesa in giudizio di diritti del Titolare.
• Dati contabili e fiscali: per il periodo previsto dalla normativa fiscale e contabile vigente (10 anni dall'ultima registrazione contabile ai sensi dell'art. 2220 c.c. e dell'art. 22 del D.P.R. 600/1973).
• Dati relativi alle comunicazioni email e PEC: per tutta la durata del contratto e, successivamente, per il periodo necessario all'eventuale gestione di contenziosi o richieste dell'Autorità.
• Dati di log e di accesso: per un periodo massimo di 12 mesi, salvo necessità di conservazione più lunga per accertamenti di violazioni di sicurezza o utilizzi non autorizzati del Servizio.
Decorsi i termini di conservazione, i dati personali saranno cancellati o resi anonimi in modo irreversibile.
5. DESTINATARI E CATEGORIE DI DESTINATARI DEI DATI
I dati personali potranno essere comunicati o resi accessibili alle seguenti categorie di destinatari:
a) Soggetti che operano in qualità di responsabili del trattamento (art. 28 GDPR)
• Fornitori di servizi informatici e di hosting che gestiscono l'infrastruttura tecnica del Software
• Piattaforma Stripe per l'elaborazione dei pagamenti
• Fornitori di servizi di posta elettronica e comunicazione
• Fornitori di servizi di backup e disaster recovery
• Fornitori di servizi di assistenza tecnica e manutenzione del Software
• Commercialisti, consulenti fiscali e del lavoro del Titolare per gli adempimenti contabili, fiscali e amministrativi
• Agenti, collaboratori e consulenti commerciali del Titolare, esclusivamente per le finalità connesse alla gestione del rapporto contrattuale
• Studi legali e consulenti legali del Titolare per la tutela dei diritti in sede giudiziale o stragiudiziale
• Istituti di credito e intermediari finanziari per la gestione dei pagamenti
• Autorità pubbliche e giudiziarie, ove richiesto dalla legge o da un provvedimento dell'Autorità competente (Agenzia delle Entrate, Guardia di Finanza, Autorità Giudiziaria, Garante per la Protezione dei Dati Personali, ecc.)
I soggetti appartenenti alle categorie sopra indicate operano in qualità di autonomi titolari del trattamento o, ove espressamente designati, in qualità di responsabili del trattamento ai sensi dell'art. 28 del GDPR.
6. TRASFERIMENTO DEI DATI A PAESI TERZI
Il Titolare si avvale di fornitori di servizi che possono trattare i dati personali in Paesi situati al di fuori dello Spazio Economico Europeo (SEE).
In particolare, la piattaforma di pagamento Stripe può trasferire dati personali verso gli Stati Uniti d'America, in conformità alle garanzie adeguate previste dal GDPR (Clausole Contrattuali Standard approvate dalla Commissione Europea ai sensi dell'art. 46, par. 2, lett. c, GDPR e, ove applicabile, adesione al Data Privacy Framework UE-USA).
Il Titolare garantisce che ogni trasferimento di dati personali verso Paesi terzi avviene nel rispetto delle condizioni previste dagli artt. 44-49 del GDPR, sulla base di:
• Decisione di adeguatezza della Commissione Europea (art. 45 GDPR); oppure
• Garanzie adeguate (art. 46 GDPR), quali Clausole Contrattuali Standard o altri strumenti giuridici riconosciuti.
Per ulteriori informazioni sulle garanzie adeguate adottate, è possibile contattare il Titolare agli indirizzi indicati al punto 1.
7. DIRITTI DELL'INTERESSATO
L'interessato ha il diritto di ottenere dal Titolare, nei casi e alle condizioni previsti dal GDPR:
a) Diritto di accesso (art. 15 GDPR)
Il diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che la riguardano e, in tal caso, di ottenere l'accesso ai dati e alle informazioni relative al trattamento.
b) Diritto di rettifica (art. 16 GDPR)
Il diritto di ottenere la rettifica dei dati personali inesatti e l'integrazione dei dati personali incompleti.
c) Diritto alla cancellazione / "diritto all'oblio" (art. 17 GDPR)
Il diritto di ottenere la cancellazione dei dati personali, quando:
• I dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti
• L'interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento
• L'interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per proseguire il trattamento
• I dati sono stati trattati illecitamente
• I dati devono essere cancellati per adempiere un obbligo legale
Il diritto alla cancellazione non si applica quando il trattamento è necessario per:
• Adempiere un obbligo legale (ad es. conservazione delle scritture contabili)
• Accertare, esercitare o difendere un diritto in sede giudiziaria
d) Diritto di limitazione del trattamento (art. 18 GDPR)
Il diritto di ottenere la limitazione del trattamento quando:
• L'interessato contesta l'esattezza dei dati personali
• Il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati
• I dati sono necessari all'interessato per accertare, esercitare o difendere un diritto in sede giudiziaria
• L'interessato si è opposto al trattamento, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del Titolare
e) Diritto alla portabilità dei dati (art. 20 GDPR)
Il diritto di ricevere i dati personali forniti al Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e il diritto di trasmetterli a un altro titolare del trattamento, quando:
• Il trattamento si basa sul consenso o su un contratto
• Il trattamento è effettuato con mezzi automatizzati
f) Diritto di opposizione (art. 21 GDPR)
Il diritto di opporsi in qualsiasi momento al trattamento dei dati personali fondato sul legittimo interesse del Titolare (art. 6, par. 1, lett. f, GDPR).
g) Diritto di revoca del consenso
Qualora il trattamento sia basato sul consenso, l'interessato ha il diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
h) Diritto di proporre reclamo all'Autorità di controllo (art. 77 GDPR)
L'interessato ha il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali, con sede in Piazza Venezia n. 11, 00187 Roma, qualora ritenga che il trattamento dei propri dati personali violi il GDPR.
Sito web: www.garanteprivacy.it
PEC: protocollo@pec.gpdp.it
8. MODALITÀ DI ESERCIZIO DEI DIRITTI
Per esercitare i diritti di cui al punto 7, l'interessato può inviare una richiesta al Titolare del trattamento mediante:
• Raccomandata A/R all'indirizzo: Spingy S.r.l., Via Don Fadini 2903, Urgnano (BG), Italia
Il Titolare fornisce riscontro alle richieste dell'interessato senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di due mesi in caso di particolare complessità della richiesta, dandone comunicazione motivata all'interessato entro un mese dalla richiesta.
Le richieste sono gratuite. Qualora le richieste dell'interessato siano manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il Titolare può addebitare un contributo spese ragionevole o rifiutare di soddisfare la richiesta.
Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza dei dati personali adeguato al rischio, ai sensi dell'art. 32 del GDPR, tra cui:
• Pseudonimizzazione e cifratura dei dati personali
• Capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
• Capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico
• Procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative
• Controllo degli accessi ai dati mediante credenziali personalizzate e protocolli di autenticazione
• Sistemi di backup e disaster recovery
Le password sono conservate in formato crittografato. Il Titolare non ha accesso alle password in chiaro degli Utenti.
10. RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO)
Il Titolare non ha nominato un Responsabile della Protezione dei Dati (Data Protection Officer - DPO) in quanto non sussistono i requisiti di cui all'art. 37 del GDPR.
Per qualsiasi informazione o richiesta in materia di protezione dei dati personali, è possibile contattare direttamente il Titolare del trattamento agli indirizzi indicati al punto 1.
11. MODIFICHE ALL'INFORMATIVA
La presente informativa può essere modificata e aggiornata nel tempo, anche in conseguenza di modifiche normative o dell'introduzione di nuove funzionalità del Servizio.
In caso di modifiche sostanziali, il Titolare ne darà comunicazione agli interessati mediante pubblicazione sul sito web www.spingy.it e/o mediante invio di comunicazione via email all'indirizzo indicato dal Cliente.
La versione aggiornata dell'informativa è sempre disponibile sul sito web del Titolare.
Data ultima revisione: 20 giugno 2026