Informativa sulla privacy
Ultimo aggiornamento: 10 giugno 2026 Versione: 1.0 Lingua originale: italiano (versioni tradotte sono cortesia, in caso di divergenza prevale la versione italiana)
Premessa
La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e descrive le finalità, le modalità e le basi giuridiche del trattamento dei dati personali raccolti tramite la piattaforma Veylon (https://veylon.app, sottodomini e API associate).
Veylon è una piattaforma di certificazione legale digitale organizzata in nove atti (Sigillo, Send, Mail, Garanzie, Registro, Tag, Cert, Firma, Onboarding KYC). Per il funzionamento del servizio è inevitabile trattare alcuni dati personali. Questa informativa spiega esattamente quali, perché, per quanto tempo, e quali diritti hai.
1. Titolare del trattamento
Titolare: Veylon S.r.l. (in costituzione) — i dati definitivi (sede, codice fiscale, P.IVA, REA, capitale sociale) saranno pubblicati al perfezionamento della costituzione societaria, prevista entro Q3 2026.
Nel frattempo, in regime di pre-costituzione, è responsabile del trattamento la persona fisica promotrice del progetto, raggiungibile ai contatti sotto.
| Voce | Dettaglio |
|---|---|
| Denominazione | Veylon S.r.l. (in costituzione) |
| Sede legale | TBD (presumibilmente Padova, Italia) |
| Email titolare | [email protected] |
| Email DPO | [email protected] (DPO da nominare; nel frattempo le richieste sono gestite dal titolare) |
| Email sicurezza | [email protected] |
> Aggiorneremo questa sezione entro 30 giorni dall'iscrizione al Registro Imprese. Se rilevi che la sezione è ancora marcata "TBD" oltre tale termine, segnalalo a [email protected].
2. Tipologie di dati raccolti
| Categoria | Esempi | Da chi |
|---|---|---|
| Dati identificativi base | Email, nome, cognome (solo se forniti) | Utente registrato |
| Dati di contatto | Email destinatario di Send / Mail / Firma | Utente mittente |
| Dati professionali | Ragione sociale, P.IVA, codice fiscale, ruolo organizzazione | Utente Onboarding KYC, istituzioni Cert, produttori Tag |
| Identificativi tecnici | IP (hashed), User Agent (hashed), session ID Supabase | Browser dell'utente |
| Hash di documenti | SHA-256 dei file notarizzati (il documento originale non è trattato) | Atto i Sigillo |
| Chiavi pubbliche | Chiave pubblica X25519 per Send | Utente Send |
| Dati telefonici | Numero cellulare (E.164) per OTP firma | Utente Firma |
| Metadati email | Mittente, destinatario, oggetto, hash del corpo email | Atto iii Mail |
| Codici di verifica pubblici | Stringa alfabeto-safe pubblicata insieme al certificato | Sistema |
| Log applicativi | Tipo evento, timestamp, esito, atto coinvolto | Sistema |
| Dati eventualmente sensibili (art. 9 GDPR) | Dati sanitari se l'istituzione Cert emette diplomi ECM o batch GMP | Istituzione cliente |
Cosa NON trattiamo
- Il contenuto dei documenti notarizzati: Sigillo lavora solo sull'hash. Il file resta sul dispositivo dell'utente.
- Il contenuto dei file Send: cifrati end-to-end in browser, vediamo solo ciphertext opaco.
- Dati biometrici: nessuna raccolta diretta da parte di Veylon.
- Dati di minori: il servizio è riservato a maggiorenni o a soggetti professionali / istituzioni.
- Trackers di profilazione: niente pixel pubblicitari, niente fingerprinting.
3. Finalità e base giuridica del trattamento
| # | Finalità | Base giuridica | Dati impiegati |
|---|---|---|---|
| 1 | Registrazione e gestione account | Art. 6.1.b (esecuzione contratto) | Email, password hash |
| 2 | Erogazione del servizio di certificazione (9 atti) | Art. 6.1.b (esecuzione contratto) | Tutti i dati operativi |
| 3 | Notarizzazione documenti su Bitcoin (Sigillo) | Art. 6.1.b (esecuzione contratto) | SHA-256 documento, metadati |
| 4 | Invio email certificate (Mail) | Art. 6.1.b (esecuzione contratto) | Mittente, destinatario, hash corpo |
| 5 | Verifica pubblica certificati (codice → esito) | Art. 6.1.f (interesse legittimo: trasparenza e affidabilità del sistema) | Codice pubblico, esito, timestamp |
| 6 | Adeguata verifica antiriciclaggio (KYC) | Art. 6.1.c (obbligo legale — D.Lgs. 231/2007) | P.IVA, dati impresa, eventuali documenti |
| 7 | Conservazione documentale (CAD, eIDAS) | Art. 6.1.c (obbligo legale) | Hash + metadati + ancoraggio Bitcoin |
| 8 | Sicurezza, prevenzione frodi, rate-limit, antiabuso | Art. 6.1.f (interesse legittimo) | IP hash, UA hash, log applicativi |
| 9 | Assistenza clienti via email | Art. 6.1.b (esecuzione contratto) | Email, contenuto del ticket |
| 10 | Fatturazione, contabilità, adempimenti fiscali | Art. 6.1.c (obbligo legale) | P.IVA, denominazione, indirizzo |
| 11 | Comunicazioni di servizio (modifiche T&C, security advisory) | Art. 6.1.b + 6.1.f | |
| 12 | Comunicazioni di marketing diretto | Art. 6.1.a (consenso) | Email, opt-in registrato |
| 13 | Trattamento dati particolari (sanitari/giudiziari) eventualmente caricati nei certificati Cert | Art. 9.2.a (consenso esplicito interessato) o 9.2.h (medicina del lavoro, su richiesta dell'istituzione) | Solo quanto necessario all'emissione |
Il rifiuto a fornire i dati indicati alle finalità 1-7 e 9-11 comporta l'impossibilità di erogare il servizio. Il rifiuto al consenso marketing (12) è sempre revocabile e non pregiudica il rapporto contrattuale.
4. Modalità di trattamento
Il trattamento avviene con strumenti elettronici, in modo automatizzato per gran parte delle operazioni, con misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR:
- Crittografia in transito: TLS 1.2+ obbligatorio su tutti gli endpoint.
- Crittografia a riposo: Supabase PostgreSQL EU Ireland con cifratura disk-level.
- Crittografia end-to-end per il modulo Send: chiavi private mai sui server Veylon.
- Pseudonimizzazione: IP e User Agent salvati sotto forma di hash SHA-256.
- Row Level Security sul database con isolamento per
user_id. - Webhook firmati HMAC su Mailgun / Twilio.
- Rate-limit OTP + TTL 5 minuti + contatore tentativi.
- Audit log immutabile su tabelle append-only.
- Backup giornalieri automatici con retention 7 giorni (Supabase native).
Non vengono adottati processi decisionali automatizzati ai sensi dell'art. 22 GDPR che producano effetti giuridici significativi sull'interessato.
5. Tempi di conservazione
I dati sono conservati per il periodo minimo necessario alla finalità, secondo i criteri sotto.
| Tipo di dato | Tempo di conservazione | Riferimento normativo |
|---|---|---|
| Hash documenti notarizzati (Sigillo) | 10 anni dall'apposizione | eIDAS art. 41 — efficacia probatoria duratura |
| Certificati Mail (metadati + hash corpo) | 10 anni dall'invio | CAD art. 41 — documento informatico |
| Trasmissioni Send (metadati, evidenze cifrate) | 10 anni dalla consegna; il ciphertext è eliminato dopo 90 giorni dalla conferma di ricezione | Bilanciamento eIDAS + minimizzazione |
| Audit log applicativi | 5 anni | CAD + art. 32 GDPR (sicurezza) |
| Email di assistenza | 90 giorni in chiaro, poi hash permanente del thread | Minimizzazione GDPR |
| Dati KYC + ROS (Onboarding) | 10 anni dalla cessazione del rapporto | D.Lgs. 231/2007 art. 31 |
| Dati di fatturazione | 10 anni | art. 2220 c.c. + DPR 600/1973 |
| OTP SMS (codici) | 5 minuti (TTL) + hash dell'utilizzo | Minimizzazione |
| Numero di telefono per OTP | Fino a revoca della firma o cancellazione account | Esecuzione contratto |
| Codici pubblici di verifica | Permanenti | Trasparenza pubblica del sistema |
| Dati account utente | Fino a chiusura account + 30 giorni di backup | Esecuzione contratto |
| Dati di marketing (consenso) | Fino a revoca | Art. 7 GDPR |
| IP hash / UA hash | 6 mesi | Sicurezza + antifrode |
Al termine del periodo, i dati sono cancellati o anonimizzati in modo irreversibile.
6. Destinatari e responsabili esterni (sub-processor)
I dati possono essere comunicati ai seguenti soggetti, tutti nominati responsabili del trattamento ex art. 28 GDPR con apposito Data Processing Agreement:
| Sub-processor | Servizio | Sede trattamento | Trasferimento extra-UE |
|---|---|---|---|
| Supabase Inc. | Database PostgreSQL + storage + edge functions | EU Ireland (eu-west-1) | No (istanza self-contained in UE) |
| Mailgun Technologies (Sinch Email EU) | Invio e ricezione email certificate | EU (Frankfurt) | No |
| Twilio Ireland Ltd. | Invio SMS OTP | EU + carrier nazionali | No (delivery via operatore nazionale) |
| GitHub Inc. | Hosting frontend statico (Pages) e codice sorgente | UE / USA | Possibili (SCC + Data Privacy Framework) |
| Lovable.dev | Hosting frontend di produzione (futuro) | UE | Da verificare al momento dell'attivazione |
| Cloudflare Inc. | DNS / CDN (futuro, opzionale) | Edge globale | SCC + Data Privacy Framework |
| Bitcoin / OpenTimestamps calendars | Pubblicazione hash sulla blockchain pubblica | Globale, peer-to-peer | Sì (per natura: la blockchain è pubblica; pubblichiamo solo hash anonimi, non dati personali identificabili) |
Veylon non vende dati a terzi e non li condivide per finalità di marketing di soggetti terzi.
7. Trasferimenti extra-UE
L'infrastruttura primaria è interamente situata nella regione EU Ireland. Nessun dato personale viene trasferito sistematicamente fuori dallo Spazio Economico Europeo.
Eccezioni:
1. Bitcoin/OpenTimestamps: pubblichiamo l'hash SHA-256 del documento (non il documento, non l'autore) sui calendar pubblici. L'hash non costituisce dato personale ai sensi del considerando 26 GDPR (non riconducibile a una persona fisica identificabile senza informazioni aggiuntive non disponibili al pubblico). 2. GitHub Pages: il sito statico viene servito da CDN globale; il visitatore può connettersi a un edge node fuori UE. Il dato trasferito è limitato al solo IP della richiesta HTTP. GitHub aderisce alle clausole contrattuali tipo (SCC) e al Data Privacy Framework UE-USA.
Per entrambe le ipotesi sono adottate le garanzie di cui all'art. 46 GDPR.
8. Diritti dell'interessato (art. 15-22 GDPR)
Hai il diritto di:
| Diritto | Cosa puoi fare |
|---|---|
| Accesso (art. 15) | Sapere se trattiamo i tuoi dati, riceverne copia |
| Rettifica (art. 16) | Correggere dati inesatti o incompleti |
| Cancellazione "diritto all'oblio" (art. 17) | Cancellare i tuoi dati, salvo obblighi di conservazione legale |
| Limitazione (art. 18) | Sospendere il trattamento in casi specifici |
| Portabilità (art. 20) | Ricevere i tuoi dati in formato strutturato (JSON / CSV) |
| Opposizione (art. 21) | Opporti al trattamento basato su interesse legittimo |
| Revoca consenso (art. 7.3) | Ritirare il consenso a marketing in qualsiasi momento |
| Non essere sottoposto a decisioni automatizzate (art. 22) | Non applicabile (non profiliamo automaticamente) |
Limite oggettivo: alcuni atti, una volta emessi (Sigillo Bitcoin, Mail consegnata, Tag attivato), sono per natura immutabili. La cancellazione del tuo account non rimuoverà l'hash già pubblicato sulla blockchain Bitcoin. Possiamo cancellare i metadati nostri ma non possiamo rimuovere l'hash da Bitcoin — è una caratteristica voluta del servizio (immutabilità = valore probatorio).
Come esercitare i diritti
Scrivi a [email protected] indicando:
- Il diritto che vuoi esercitare.
- L'email associata al tuo account Veylon (per autenticarti).
- Una copia di un documento d'identità (per richieste sensibili come cancellazione totale o portabilità).
Risponderemo entro 30 giorni (prorogabili a 60 per richieste complesse, con comunicazione preventiva).
Reclamo all'Autorità di controllo
In ultima istanza puoi rivolgerti al Garante per la protezione dei dati personali:
- Indirizzo: Piazza Venezia 11, 00187 Roma
- Email:
[email protected] - PEC:
[email protected] - Web: https://www.garanteprivacy.it/
9. Cookie e tecnologie simili
Veylon non utilizza cookie di tracciamento o profilazione.
Sono attivi esclusivamente:
- Cookie tecnici di sessione strettamente necessari (autenticazione Supabase), con durata di sessione.
- Local storage del browser per persistere lo stato del login e — nel modulo Send — la chiave privata X25519 dell'utente (mai trasmessa al server).
Per gli analytics utilizziamo (o utilizzeremo) Plausible Analytics, soluzione GDPR-compliant senza cookie.
Vedi COOKIES.md per il dettaglio.
10. Comunicazioni di marketing
L'iscrizione alla newsletter è facoltativa e basata su consenso esplicito. Puoi disiscriverti in qualsiasi momento dal link presente in fondo a ogni email o scrivendo a [email protected]. Non utilizziamo i tuoi dati per profilarti a fini di marketing comportamentale.
11. Sicurezza dei dati
Adottiamo le misure indicate al §4 e descritte in dettaglio in SECURITY.md, includendo:
- Audit DB advisor su tutte le policy RLS.
- Vulnerability disclosure program attivo (
[email protected]). - Rotazione periodica dei secret.
- Backup giornalieri.
- Penetration test esterni in pianificazione (post-MVP).
In caso di data breach che possa comportare rischio per i diritti e le libertà degli interessati, notifichiamo il Garante entro 72 ore (art. 33 GDPR) e gli interessati senza ritardo (art. 34 GDPR).
12. Minori
Il servizio è riservato a maggiorenni (18+) o a soggetti professionali (P.IVA / istituzioni). Non raccogliamo consapevolmente dati di minori di 16 anni ai sensi dell'art. 8 GDPR. Se ritieni che ciò sia avvenuto involontariamente, contattaci e procederemo all'immediata cancellazione.
13. Modifiche all'informativa
Ci riserviamo di aggiornare questa informativa per riflettere modifiche al servizio o evoluzioni normative. La versione vigente è sempre disponibile a https://veylon.app/privacy. Comunicheremo le modifiche sostanziali via email agli utenti registrati con almeno 30 giorni di preavviso.
| Versione | Data | Modifica |
|---|---|---|
| 1.0 | 2026-06-10 | Prima pubblicazione |
14. Contatti riassuntivi
| Per | |
|---|---|
| Esercizio dei diritti privacy | [email protected] |
| Segnalazioni di sicurezza | [email protected] |
| DPO (al momento gestito dal titolare) | [email protected] |
| Assistenza generica | [email protected] |
| Questioni legali / NDA / contratti | [email protected] |
Veylon — il sigillo legale dell'era digitale. La nostra reputazione è la tua privacy.