Legali · Privacy & GDPR
VEYLON

Informativa sulla privacy

Ultimo aggiornamento: 10 giugno 2026 Versione: 1.0 Lingua originale: italiano (versioni tradotte sono cortesia, in caso di divergenza prevale la versione italiana)


Premessa

La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e descrive le finalità, le modalità e le basi giuridiche del trattamento dei dati personali raccolti tramite la piattaforma Veylon (https://veylon.app, sottodomini e API associate).

Veylon è una piattaforma di certificazione legale digitale organizzata in nove atti (Sigillo, Send, Mail, Garanzie, Registro, Tag, Cert, Firma, Onboarding KYC). Per il funzionamento del servizio è inevitabile trattare alcuni dati personali. Questa informativa spiega esattamente quali, perché, per quanto tempo, e quali diritti hai.


1. Titolare del trattamento

Titolare: Veylon S.r.l. (in costituzione) — i dati definitivi (sede, codice fiscale, P.IVA, REA, capitale sociale) saranno pubblicati al perfezionamento della costituzione societaria, prevista entro Q3 2026.

Nel frattempo, in regime di pre-costituzione, è responsabile del trattamento la persona fisica promotrice del progetto, raggiungibile ai contatti sotto.

VoceDettaglio
DenominazioneVeylon S.r.l. (in costituzione)
Sede legaleTBD (presumibilmente Padova, Italia)
Email titolare[email protected]
Email DPO[email protected] (DPO da nominare; nel frattempo le richieste sono gestite dal titolare)
Email sicurezza[email protected]

> Aggiorneremo questa sezione entro 30 giorni dall'iscrizione al Registro Imprese. Se rilevi che la sezione è ancora marcata "TBD" oltre tale termine, segnalalo a [email protected].


2. Tipologie di dati raccolti

CategoriaEsempiDa chi
Dati identificativi baseEmail, nome, cognome (solo se forniti)Utente registrato
Dati di contattoEmail destinatario di Send / Mail / FirmaUtente mittente
Dati professionaliRagione sociale, P.IVA, codice fiscale, ruolo organizzazioneUtente Onboarding KYC, istituzioni Cert, produttori Tag
Identificativi tecniciIP (hashed), User Agent (hashed), session ID SupabaseBrowser dell'utente
Hash di documentiSHA-256 dei file notarizzati (il documento originale non è trattato)Atto i Sigillo
Chiavi pubblicheChiave pubblica X25519 per SendUtente Send
Dati telefoniciNumero cellulare (E.164) per OTP firmaUtente Firma
Metadati emailMittente, destinatario, oggetto, hash del corpo emailAtto iii Mail
Codici di verifica pubbliciStringa alfabeto-safe pubblicata insieme al certificatoSistema
Log applicativiTipo evento, timestamp, esito, atto coinvoltoSistema
Dati eventualmente sensibili (art. 9 GDPR)Dati sanitari se l'istituzione Cert emette diplomi ECM o batch GMPIstituzione cliente

Cosa NON trattiamo


3. Finalità e base giuridica del trattamento

#FinalitàBase giuridicaDati impiegati
1Registrazione e gestione accountArt. 6.1.b (esecuzione contratto)Email, password hash
2Erogazione del servizio di certificazione (9 atti)Art. 6.1.b (esecuzione contratto)Tutti i dati operativi
3Notarizzazione documenti su Bitcoin (Sigillo)Art. 6.1.b (esecuzione contratto)SHA-256 documento, metadati
4Invio email certificate (Mail)Art. 6.1.b (esecuzione contratto)Mittente, destinatario, hash corpo
5Verifica pubblica certificati (codice → esito)Art. 6.1.f (interesse legittimo: trasparenza e affidabilità del sistema)Codice pubblico, esito, timestamp
6Adeguata verifica antiriciclaggio (KYC)Art. 6.1.c (obbligo legale — D.Lgs. 231/2007)P.IVA, dati impresa, eventuali documenti
7Conservazione documentale (CAD, eIDAS)Art. 6.1.c (obbligo legale)Hash + metadati + ancoraggio Bitcoin
8Sicurezza, prevenzione frodi, rate-limit, antiabusoArt. 6.1.f (interesse legittimo)IP hash, UA hash, log applicativi
9Assistenza clienti via emailArt. 6.1.b (esecuzione contratto)Email, contenuto del ticket
10Fatturazione, contabilità, adempimenti fiscaliArt. 6.1.c (obbligo legale)P.IVA, denominazione, indirizzo
11Comunicazioni di servizio (modifiche T&C, security advisory)Art. 6.1.b + 6.1.fEmail
12Comunicazioni di marketing direttoArt. 6.1.a (consenso)Email, opt-in registrato
13Trattamento dati particolari (sanitari/giudiziari) eventualmente caricati nei certificati CertArt. 9.2.a (consenso esplicito interessato) o 9.2.h (medicina del lavoro, su richiesta dell'istituzione)Solo quanto necessario all'emissione

Il rifiuto a fornire i dati indicati alle finalità 1-7 e 9-11 comporta l'impossibilità di erogare il servizio. Il rifiuto al consenso marketing (12) è sempre revocabile e non pregiudica il rapporto contrattuale.


4. Modalità di trattamento

Il trattamento avviene con strumenti elettronici, in modo automatizzato per gran parte delle operazioni, con misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR:

Non vengono adottati processi decisionali automatizzati ai sensi dell'art. 22 GDPR che producano effetti giuridici significativi sull'interessato.


5. Tempi di conservazione

I dati sono conservati per il periodo minimo necessario alla finalità, secondo i criteri sotto.

Tipo di datoTempo di conservazioneRiferimento normativo
Hash documenti notarizzati (Sigillo)10 anni dall'apposizioneeIDAS art. 41 — efficacia probatoria duratura
Certificati Mail (metadati + hash corpo)10 anni dall'invioCAD art. 41 — documento informatico
Trasmissioni Send (metadati, evidenze cifrate)10 anni dalla consegna; il ciphertext è eliminato dopo 90 giorni dalla conferma di ricezioneBilanciamento eIDAS + minimizzazione
Audit log applicativi5 anniCAD + art. 32 GDPR (sicurezza)
Email di assistenza90 giorni in chiaro, poi hash permanente del threadMinimizzazione GDPR
Dati KYC + ROS (Onboarding)10 anni dalla cessazione del rapportoD.Lgs. 231/2007 art. 31
Dati di fatturazione10 anniart. 2220 c.c. + DPR 600/1973
OTP SMS (codici)5 minuti (TTL) + hash dell'utilizzoMinimizzazione
Numero di telefono per OTPFino a revoca della firma o cancellazione accountEsecuzione contratto
Codici pubblici di verificaPermanentiTrasparenza pubblica del sistema
Dati account utenteFino a chiusura account + 30 giorni di backupEsecuzione contratto
Dati di marketing (consenso)Fino a revocaArt. 7 GDPR
IP hash / UA hash6 mesiSicurezza + antifrode

Al termine del periodo, i dati sono cancellati o anonimizzati in modo irreversibile.


6. Destinatari e responsabili esterni (sub-processor)

I dati possono essere comunicati ai seguenti soggetti, tutti nominati responsabili del trattamento ex art. 28 GDPR con apposito Data Processing Agreement:

Sub-processorServizioSede trattamentoTrasferimento extra-UE
Supabase Inc.Database PostgreSQL + storage + edge functionsEU Ireland (eu-west-1)No (istanza self-contained in UE)
Mailgun Technologies (Sinch Email EU)Invio e ricezione email certificateEU (Frankfurt)No
Twilio Ireland Ltd.Invio SMS OTPEU + carrier nazionaliNo (delivery via operatore nazionale)
GitHub Inc.Hosting frontend statico (Pages) e codice sorgenteUE / USAPossibili (SCC + Data Privacy Framework)
Lovable.devHosting frontend di produzione (futuro)UEDa verificare al momento dell'attivazione
Cloudflare Inc.DNS / CDN (futuro, opzionale)Edge globaleSCC + Data Privacy Framework
Bitcoin / OpenTimestamps calendarsPubblicazione hash sulla blockchain pubblicaGlobale, peer-to-peerSì (per natura: la blockchain è pubblica; pubblichiamo solo hash anonimi, non dati personali identificabili)

Veylon non vende dati a terzi e non li condivide per finalità di marketing di soggetti terzi.


7. Trasferimenti extra-UE

L'infrastruttura primaria è interamente situata nella regione EU Ireland. Nessun dato personale viene trasferito sistematicamente fuori dallo Spazio Economico Europeo.

Eccezioni:

1. Bitcoin/OpenTimestamps: pubblichiamo l'hash SHA-256 del documento (non il documento, non l'autore) sui calendar pubblici. L'hash non costituisce dato personale ai sensi del considerando 26 GDPR (non riconducibile a una persona fisica identificabile senza informazioni aggiuntive non disponibili al pubblico). 2. GitHub Pages: il sito statico viene servito da CDN globale; il visitatore può connettersi a un edge node fuori UE. Il dato trasferito è limitato al solo IP della richiesta HTTP. GitHub aderisce alle clausole contrattuali tipo (SCC) e al Data Privacy Framework UE-USA.

Per entrambe le ipotesi sono adottate le garanzie di cui all'art. 46 GDPR.


8. Diritti dell'interessato (art. 15-22 GDPR)

Hai il diritto di:

DirittoCosa puoi fare
Accesso (art. 15)Sapere se trattiamo i tuoi dati, riceverne copia
Rettifica (art. 16)Correggere dati inesatti o incompleti
Cancellazione "diritto all'oblio" (art. 17)Cancellare i tuoi dati, salvo obblighi di conservazione legale
Limitazione (art. 18)Sospendere il trattamento in casi specifici
Portabilità (art. 20)Ricevere i tuoi dati in formato strutturato (JSON / CSV)
Opposizione (art. 21)Opporti al trattamento basato su interesse legittimo
Revoca consenso (art. 7.3)Ritirare il consenso a marketing in qualsiasi momento
Non essere sottoposto a decisioni automatizzate (art. 22)Non applicabile (non profiliamo automaticamente)

Limite oggettivo: alcuni atti, una volta emessi (Sigillo Bitcoin, Mail consegnata, Tag attivato), sono per natura immutabili. La cancellazione del tuo account non rimuoverà l'hash già pubblicato sulla blockchain Bitcoin. Possiamo cancellare i metadati nostri ma non possiamo rimuovere l'hash da Bitcoin — è una caratteristica voluta del servizio (immutabilità = valore probatorio).

Come esercitare i diritti

Scrivi a [email protected] indicando:

Risponderemo entro 30 giorni (prorogabili a 60 per richieste complesse, con comunicazione preventiva).

Reclamo all'Autorità di controllo

In ultima istanza puoi rivolgerti al Garante per la protezione dei dati personali:


9. Cookie e tecnologie simili

Veylon non utilizza cookie di tracciamento o profilazione.

Sono attivi esclusivamente:

Per gli analytics utilizziamo (o utilizzeremo) Plausible Analytics, soluzione GDPR-compliant senza cookie.

Vedi COOKIES.md per il dettaglio.


10. Comunicazioni di marketing

L'iscrizione alla newsletter è facoltativa e basata su consenso esplicito. Puoi disiscriverti in qualsiasi momento dal link presente in fondo a ogni email o scrivendo a [email protected]. Non utilizziamo i tuoi dati per profilarti a fini di marketing comportamentale.


11. Sicurezza dei dati

Adottiamo le misure indicate al §4 e descritte in dettaglio in SECURITY.md, includendo:

In caso di data breach che possa comportare rischio per i diritti e le libertà degli interessati, notifichiamo il Garante entro 72 ore (art. 33 GDPR) e gli interessati senza ritardo (art. 34 GDPR).


12. Minori

Il servizio è riservato a maggiorenni (18+) o a soggetti professionali (P.IVA / istituzioni). Non raccogliamo consapevolmente dati di minori di 16 anni ai sensi dell'art. 8 GDPR. Se ritieni che ciò sia avvenuto involontariamente, contattaci e procederemo all'immediata cancellazione.


13. Modifiche all'informativa

Ci riserviamo di aggiornare questa informativa per riflettere modifiche al servizio o evoluzioni normative. La versione vigente è sempre disponibile a https://veylon.app/privacy. Comunicheremo le modifiche sostanziali via email agli utenti registrati con almeno 30 giorni di preavviso.

VersioneDataModifica
1.02026-06-10Prima pubblicazione

14. Contatti riassuntivi

PerEmail
Esercizio dei diritti privacy[email protected]
Segnalazioni di sicurezza[email protected]
DPO (al momento gestito dal titolare)[email protected]
Assistenza generica[email protected]
Questioni legali / NDA / contratti[email protected]

Veylon — il sigillo legale dell'era digitale. La nostra reputazione è la tua privacy.