Privacy

Informativa privacy
e trattamento dei dati.

Informativa ai sensi del Regolamento UE 2016/679 (GDPR) sul trattamento dei dati personali raccolti tramite il sito SWater e nell'utilizzo della piattaforma.

Informativa sulla Privacy — SWater Online

Ultimo aggiornamento: 14/05/2026
Versione: 1.0

La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 ("Codice Privacy"), e descrive il trattamento dei dati personali effettuato nell'ambito della piattaforma SaaS SWater Online (di seguito, "Servizio").

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è:

ELERIA di Andrea Vincenzo Abbondanza
Sede legale: Casagiove (CE), Italia
P. IVA / C.F.: IT04937660613
PEC: andreabbondanza@pec-eu.it
Email: info@eleria.eu
Sito web: https://eleria.eu

(di seguito, "ELERIA" o "Titolare").

ELERIA non ha nominato un Responsabile della Protezione dei Dati (DPO/RPD), non ricorrendone i presupposti obbligatori di cui all'art. 37 GDPR. Per qualunque richiesta in materia di protezione dei dati personali, l'interessato può rivolgersi direttamente al Titolare ai recapiti sopra indicati.

2. Categorie di dati personali trattati

Nell'ambito dell'erogazione del Servizio, ELERIA tratta le seguenti categorie di dati personali:

2.1 Dati di account

Nome, cognome, indirizzo email, password (conservata esclusivamente in forma cifrata mediante funzione di hash non reversibile), ruolo all'interno dell'organizzazione del Cliente, lingua preferita, eventuale fotografia/avatar.

2.2 Dati di fatturazione e amministrativi

Ragione sociale o nome del professionista, partita IVA, codice fiscale, indirizzo sede legale, indirizzo PEC, codice destinatario SDI, dati di pagamento (con esclusione dei dati completi della carta di credito, che — se applicabile — sono gestiti direttamente da un eventuale gateway di pagamento e non transitano per i sistemi di ELERIA).

2.3 Dati di utilizzo e di prodotto

Cronologia degli accessi (data, ora, indirizzo IP, user agent), elenco dei calcoli eseguiti, moduli utilizzati, parametri di input forniti, output generati (calcoli, relazioni), template caricati dal Cliente (es. modelli Word per le Relazioni custom), eventuali interazioni con il Bot AI assistente (qualora attivato).

2.4 Dati tecnici e di sicurezza

Indirizzo IP, identificativi tecnici di sessione, log applicativi, log di sicurezza, dati relativi al dispositivo e al browser. L'utilizzo di cookie è disciplinato in via autonoma dalla Cookie Policy pubblicata sul sito ufficiale del Servizio, alla quale si rinvia integralmente.

2.5 Dati di assistenza e comunicazione

Contenuto delle comunicazioni intercorse tra il Cliente e ELERIA (email di supporto, richieste tramite form di contatto, ticket di assistenza), con i relativi metadati.

2.6 Dati di autenticazione e fattori di sicurezza

Per garantire la sicurezza degli accessi, ove l'utente attivi tali funzionalità, ELERIA può trattare i seguenti ulteriori dati di autenticazione:

  • Passkey (WebAuthn / FIDO2) — chiave pubblica crittografica generata dall'autenticatore dell'utente, identificativo della credenziale (credential ID), eventuali metadati dell'autenticatore (AAGUID), nome assegnato dall'utente alla passkey, data di registrazione e data di ultimo utilizzo. La chiave privata e gli eventuali dati biometrici utilizzati per sbloccarla sul dispositivo dell'utente (impronta digitale, riconoscimento facciale, PIN dell'autenticatore) NON vengono in alcun momento trasmessi a, né trattati da, ELERIA: restano confinati esclusivamente nel dispositivo dell'utente, che effettua localmente la verifica biometrica e firma una sfida crittografica con la chiave privata. La piattaforma riceve unicamente l'esito dell'autenticazione e la relativa firma, mai i dati biometrici. ELERIA non tratta pertanto categorie particolari di dati personali ai sensi dell'art. 9 GDPR.
  • Autenticazione a due fattori (2FA) — a seconda del metodo scelto dall'utente:
  • TOTP (app autenticatore, es. Google Authenticator, Authy, 1Password): segreto condiviso generato in fase di attivazione, conservato in forma cifrata a riposo;
  • Codici di backup: conservati esclusivamente in forma di hash non reversibile;
  • SMS (ove abilitato dalla piattaforma): numero di telefono mobile dell'utente, utilizzato unicamente per l'invio del codice di verifica;
  • Email (ove abilitato): l'indirizzo email già conservato come dato di account ex art. 2.1, senza acquisizione di un indirizzo aggiuntivo.
  • Sessioni e dispositivi attivi — identificativo tecnico del dispositivo (device_id), user agent, indirizzo IP della sessione, data e ora dell'accesso, finalizzati alla gestione delle sessioni multiple, al rilevamento di accessi anomali e alla prevenzione di frodi.

I dati di cui al presente paragrafo sono trattati sulla base dell'esecuzione del contratto (art. 6.1.b GDPR) e del legittimo interesse del Titolare a garantire la sicurezza del Servizio (art. 6.1.f GDPR), anche in attuazione degli obblighi tecnici di sicurezza di cui all'art. 32 GDPR. La loro cancellazione avviene immediatamente alla revoca della corrispondente credenziale dal pannello di sicurezza dell'account e, in ogni caso, alla cessazione dell'account secondo i termini di cui all'art. 8.

3. Finalità del trattamento e basi giuridiche

I dati personali sono trattati per le seguenti finalità e in forza delle corrispondenti basi giuridiche:

#FinalitàBase giuridica (art. 6 GDPR)
(a)Registrazione e gestione dell'account; erogazione del Servizio sottoscritto, inclusi calcoli, generazione di relazioni e accesso alle eventuali API REST; assistenza tecnicaEsecuzione del contratto o di misure precontrattuali — art. 6.1.b
(b)Fatturazione, contabilità, adempimenti fiscali e tributari, conservazione documentale obbligatoriaObbligo di legge — art. 6.1.c
(c)Sicurezza del Servizio: prevenzione di accessi non autorizzati, rilevamento di abusi e frodi, integrità dei dati, conservazione di log applicativi e di sicurezzaLegittimo interesse del Titolare — art. 6.1.f
(d)Comunicazioni di servizio all'utenza: notifiche di scadenza della sottoscrizione, comunicazioni operative su correzioni di bug, rilascio di nuove funzionalità, azioni richieste all'utente (es. aggiornamento password, accettazione di nuovi termini), avvisi di manutenzione, comunicazioni di sicurezzaEsecuzione del contratto — art. 6.1.b — e legittimo interesse del Titolare a mantenere il Cliente informato sulla corretta fruizione del Servizio — art. 6.1.f
(e)Difesa in sede giudiziale o stragiudiziale dei diritti di ELERIA, accertamento e perseguimento di responsabilità del Cliente in caso di inadempimentoLegittimo interesse del Titolare — art. 6.1.f
(f)Miglioramento del Servizio e analisi statistiche, effettuate esclusivamente su dati aggregati e anonimizzatiLegittimo interesse del Titolare — art. 6.1.f

ELERIA non effettua attività di marketing diretto, profilazione commerciale né invia newsletter promozionali. Le comunicazioni di cui alla lettera (d) non costituiscono comunicazioni promozionali ai sensi dell'art. 130 del Codice Privacy.

4. Comunicazioni di servizio e diritto di opposizione

Le comunicazioni di cui all'art. 3 lettera (d) — annunci di bug fix, nuove funzionalità, richieste di azione, scadenze, avvisi di sicurezza — sono funzionali alla corretta esecuzione del contratto e all'uso consapevole del Servizio da parte del Cliente. Non costituiscono marketing diretto e vengono inviate sulla base contrattuale e del legittimo interesse, senza necessità di consenso.

L'interessato ha comunque il diritto, ai sensi dell'art. 21 GDPR, di opporsi al trattamento dei propri dati per le finalità basate sul legittimo interesse, ivi incluse tali comunicazioni. L'opposizione alle comunicazioni di servizio può tuttavia comportare l'impossibilità di ricevere informazioni rilevanti per la fruizione del Servizio (avvisi di scadenza, richieste di azione obbligatorie, comunicazioni di sicurezza); restano in ogni caso inviate le comunicazioni strettamente indispensabili a dare esecuzione al contratto (es. fattura, conferma di pagamento, scadenza imminente).

5. Modalità del trattamento

I dati sono trattati con strumenti elettronici e secondo modalità organizzative e logiche strettamente connesse alle finalità indicate. ELERIA adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR a tutela della riservatezza, integrità e disponibilità dei dati, tra cui in particolare:

  • cifratura dei dati in transito (TLS) e a riposo, ove tecnicamente applicabile;
  • conservazione delle password mediante funzioni di hash con salt;
  • controllo degli accessi tramite credenziali individuali, supporto a passkey (WebAuthn/FIDO2) e autenticazione a due fattori (TOTP, codici di backup e, ove abilitati, email o SMS); i dati biometrici eventualmente utilizzati per sbloccare le passkey sul dispositivo dell'utente non vengono mai trasmessi al Servizio (vedi art. 2.6);
  • registrazione di log di accesso e di sicurezza;
  • segregazione logica dei dati tra Clienti;
  • backup periodici;
  • procedure di gestione degli incidenti e di notifica delle violazioni di dati personali (data breach).

L'accesso ai dati è limitato al personale di ELERIA debitamente autorizzato e formato, nei limiti delle rispettive mansioni.

6. Destinatari dei dati e responsabili esterni del trattamento

I dati personali possono essere comunicati a soggetti terzi che svolgono per conto di ELERIA specifiche attività necessarie all'erogazione del Servizio. Tali soggetti agiscono in qualità di Responsabili del trattamento ai sensi dell'art. 28 GDPR, sulla base di apposito atto di nomina che ne disciplina ruoli, finalità e misure di sicurezza.

6.1 Responsabili esterni nominati

Alla data di pubblicazione della presente informativa, i principali responsabili esterni del trattamento sono:

  • Amazon Web Services EMEA SARL (con sede in Lussemburgo), in qualità di fornitore dell'infrastruttura cloud su cui è ospitato il Servizio. I dati sono fisicamente trattati in data center situati all'interno dello Spazio Economico Europeo.

ELERIA si riserva la facoltà di avvalersi di ulteriori responsabili esterni (a titolo esemplificativo: provider di posta elettronica transazionale, gateway di pagamento, fornitori di assistenza tecnica), nominati per iscritto ai sensi dell'art. 28 GDPR. In tal caso, la presente informativa sarà aggiornata.

6.2 Altri destinatari

I dati potranno inoltre essere comunicati a:

  • consulenti professionali del Titolare (commercialista, legale) nei limiti strettamente necessari e in qualità di autonomi titolari del trattamento per le proprie finalità professionali;
  • autorità giudiziarie o amministrative, in adempimento di obblighi di legge o di provvedimenti dell'autorità.

I dati personali non vengono diffusi, ceduti o venduti a terzi per finalità commerciali proprie.

7. Trasferimento dei dati all'estero

Alla data di pubblicazione della presente informativa, tutti i dati personali sono trattati e conservati all'interno dello Spazio Economico Europeo (SEE). Non sono in atto trasferimenti verso Paesi terzi.

Qualora, in futuro, si rendesse necessario il trasferimento di dati personali al di fuori del SEE, ELERIA adotterà le garanzie previste dagli artt. 44 e seguenti del GDPR — in particolare le Clausole Contrattuali Standard (Standard Contractual Clauses) adottate dalla Commissione Europea — e ne darà tempestiva informativa agli interessati.

8. Periodo di conservazione

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per le quali sono stati raccolti, e comunque:

Categoria di datoPeriodo di conservazione
Dati di account e contenuti del ClientePer tutta la durata della sottoscrizione, più 12 mesi dalla cessazione, al fine di consentire eventuale riattivazione senza perdita di storico. Trascorso tale periodo, i dati sono cancellati o anonimizzati.
Dati di fatturazione e documentazione fiscale10 anni dalla data di emissione del documento, ai sensi della normativa civilistica e fiscale italiana (art. 2220 c.c. e D.P.R. 633/1972).
Log di accesso e di sicurezzaDi norma 6-12 mesi, salvo necessità di conservazione più estesa per la difesa di un diritto in sede giudiziaria o per indagini su incidenti di sicurezza.
Comunicazioni di assistenzaPer il tempo necessario alla gestione della richiesta e, successivamente, per un periodo ragionevole non superiore a 24 mesi ai fini di tracciabilità della stessa.
Dati trattati per esigenze difensivePer la durata del contenzioso e fino allo spirare dei termini di impugnazione.

In caso di cancellazione anticipata dell'account su richiesta dell'interessato, restano fermi i tempi di conservazione previsti dalla legge per i dati amministrativi e fiscali.

9. Diritti dell'interessato

In qualunque momento, l'interessato può esercitare nei confronti del Titolare i seguenti diritti, riconosciuti dagli artt. 15-22 GDPR:

  • diritto di accesso ai propri dati personali (art. 15);
  • diritto di rettifica dei dati inesatti o di integrazione di dati incompleti (art. 16);
  • diritto di cancellazione ("diritto all'oblio") nei casi previsti dall'art. 17;
  • diritto di limitazione del trattamento (art. 18);
  • diritto alla portabilità dei dati forniti, in formato strutturato, di uso comune e leggibile da dispositivo automatico (art. 20);
  • diritto di opposizione al trattamento per finalità basate sul legittimo interesse del Titolare (art. 21), con le precisazioni di cui all'art. 4 della presente informativa.

L'interessato ha inoltre il diritto, ai sensi dell'art. 77 GDPR, di proporre reclamo all'Autorità Garante per la protezione dei dati personali (https://www.garanteprivacy.it).

9.1 Modalità di esercizio dei diritti

Le richieste di esercizio dei diritti possono essere indirizzate ai recapiti del Titolare indicati all'art. 1. ELERIA si impegna a rispondere senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta, salvo proroga motivata nei casi previsti dall'art. 12 GDPR.

L'esercizio dei diritti è gratuito, salvo i casi di richieste manifestamente infondate o eccessive previsti dall'art. 12.5 GDPR.

10. Decisioni automatizzate e profilazione

ELERIA non effettua processi decisionali interamente automatizzati ai sensi dell'art. 22 GDPR, né attività di profilazione, sui dati personali degli interessati. I calcoli effettuati dal Servizio costituiscono elaborazioni richieste dal Cliente sulla base di input forniti dal Cliente stesso e non producono effetti giuridici o significativamente impattanti sugli interessati derivanti da decisioni assunte autonomamente dalla piattaforma.

11. Conferimento dei dati e conseguenze del mancato conferimento

Il conferimento dei dati di account, di fatturazione e dei dati strettamente necessari all'erogazione del Servizio (artt. 3 lett. a–c) è obbligatorio: in caso di mancato conferimento, ELERIA non sarà in grado di erogare il Servizio.

Il conferimento di altri dati (a titolo esemplificativo: dati non essenziali del profilo, contenuti caricati facoltativi) è facoltativo.

12. Cookie

L'utilizzo di cookie e tecnologie analoghe sul sito web e sull'applicazione di SWater Online è disciplinato in via autonoma dalla Cookie Policy pubblicata sul sito ufficiale del Servizio, alla quale si rinvia integralmente.

13. Modifiche all'informativa

ELERIA si riserva la facoltà di aggiornare la presente informativa per riflettere modifiche normative, organizzative o relative al Servizio. Le modifiche saranno pubblicate sul sito ufficiale e, qualora abbiano impatto sostanziale sui trattamenti, comunicate agli interessati con ragionevole preavviso tramite dashboard e/o email.

14. Contatti

Per qualunque richiesta, esercizio dei diritti o chiarimento in materia di protezione dei dati personali, l'interessato può rivolgersi al Titolare ai recapiti indicati all'art. 1.