Privacy Policy

1. Titolare del Trattamento

Soulbit

P.IVA: 06038820871

Sede legale: Catania (CT), Italia

Email: privacy@skrinium.it

PEC: soulbit@pec.it

2. Tipologie di Dati Trattati

Dati di Registrazione:

Nome utente
Indirizzo email
Password (hash crittografico, non reversibile)
Codice fiscale (crittografato nel database)
Numero di telefono (opzionale, per notifiche SMS/vocali)
Data di registrazione

Dati Anagrafici (richiesti alla registrazione):

Nome e cognome
Data di nascita
Luogo di nascita

Dati di Residenza (opzionali):

Indirizzo di residenza
CAP, città e provincia

Dati dei Beneficiari:

Nome e cognome dei beneficiari
Indirizzi email dei beneficiari

Documenti e Contenuti:

File digitali caricati dall'utente
Metadati dei documenti
Metadati di firma digitale (per documenti firmati caricati)

Dati Tecnici:

Indirizzo IP
Log di accesso e attività
Cookie tecnici
User agent e informazioni browser

Dati di Sicurezza (2FA):

TOTP secret per autenticazione a due fattori
Codici di backup crittografati
Log di verifica 2FA

Dati di Audit:

Log completo di tutte le azioni
Timestamp e IP di ogni operazione
Tentativi di accesso falliti
Modifiche ai documenti e permessi

2-bis. Categorie Particolari di Dati (Art. 9 GDPR)

Attenzione: Dati Sensibili

I documenti caricati dall'utente potrebbero contenere categorie particolari di dati ai sensi dell'art. 9 del GDPR, tra cui:

Dati sulla salute: Direttive Anticipate di Trattamento (DAT), cartelle cliniche, diagnosi, anamnesi
Dati finanziari sensibili: informazioni su conti bancari, investimenti, polizze vita
Dati genetici o biometrici (se inclusi in documenti caricati dall'utente)
Dati relativi a condanne penali o reati (se inclusi in documenti caricati)

Base giuridica per il trattamento di dati particolari: Art. 9.2.a GDPR (consenso esplicito dell'interessato) espresso al momento della registrazione e confermabile nelle impostazioni dell'account. L'utente ha il diritto di revocare tale consenso in qualsiasi momento, ferma restando l'impossibilità tecnica di continuare a fornire il servizio in assenza del consenso stesso.

Avvertenza: Skrinium non analizza, legge o elabora il contenuto dei documenti caricati per finalità diverse da quelle strettamente tecniche (crittografia, storage, trasmissione ai beneficiari designati). I documenti rimangono crittografati e accessibili esclusivamente all'utente e ai beneficiari da lui autorizzati.

3. Finalità del Trattamento

Gestione del Servizio

Erogazione del servizio
Autenticazione utenti
Archiviazione documenti
Invio notifiche

Sicurezza e Conformità

Prevenzione frodi
Audit di sicurezza
Conformità normativa
Supporto tecnico

4. Base Giuridica del Trattamento

Esecuzione contrattuale (Art. 6.1.b GDPR): Per fornire il servizio richiesto e gestire il rapporto contrattuale, inclusa la verifica dell'identità dell'utente tramite codice fiscale italiano (per i cittadini italiani) o tramite documento di identità UE valido equivalente (carta d'identità o passaporto, per i cittadini UE non italiani), necessaria per garantire l'autenticità e la responsabilità nell'utilizzo del servizio
Consenso esplicito (Art. 6.1.a e 9.2.a GDPR): Per il trattamento di categorie particolari di dati (dati sanitari, finanziari sensibili) eventualmente contenuti nei documenti caricati, e per comunicazioni non essenziali al servizio
Interesse legittimo (Art. 6.1.f GDPR): Per sicurezza informatica, prevenzione frodi, protezione dell'integrità del sistema
Obbligo legale (Art. 6.1.c GDPR): Per conservazione log e audit ai sensi della normativa applicabile

Valutazione d'Impatto (DPIA - Art. 35 GDPR): Il Titolare ha effettuato una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per il trattamento ad alto rischio relativo al sistema di consegna automatica dei documenti e al trattamento di categorie particolari di dati. La DPIA è disponibile su richiesta all'indirizzo dpo@skrinium.it.

4-bis. Trattamento dei Dati Personali Post-Mortem (Art. 2-terdecies D.Lgs. 196/2003)

Disciplina speciale per i dati personali del defunto
Ai sensi dell'art. 2-terdecies del D.Lgs. 196/2003 (Codice Privacy), i diritti dell'interessato relativi ai propri dati personali possono essere esercitati, dopo il suo decesso, da chi ha un interesse proprio o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione.

Base Giuridica del Trattamento Post-Mortem

Dopo il decesso dell'utente, il trattamento dei dati personali del defunto si basa su:

Disposizione preventiva dell'interessato (Art. 2-terdecies, comma 1): L'utente, al momento della registrazione e nelle impostazioni dell'account, esprime la propria volontà circa il trattamento dei propri dati dopo il decesso, inclusa la designazione dei beneficiari e le istruzioni di consegna
Esecuzione del servizio contrattuale (Art. 6.1.b GDPR): La consegna automatica dei documenti ai beneficiari designati è la finalità principale del contratto, e il suo completamento post-mortem costituisce esecuzione del servizio stesso
Interesse legittimo (Art. 6.1.f GDPR): Per la gestione degli accessi, la sicurezza dell'account e la prevenzione di frodi anche nel periodo successivo al decesso

Diritti degli Eredi ai sensi dell'Art. 2-terdecies

Gli eredi legali o le persone indicate dall'utente possono esercitare i seguenti diritti GDPR per conto del defunto, scrivendo a privacy@skrinium.it con documentazione comprovante la qualità di erede o avente diritto:

Diritto di accesso (Art. 15 GDPR): Ottenere informazioni sul trattamento dei dati del defunto, nei limiti della riservatezza dei beneficiari designati
Diritto alla cancellazione (Art. 17 GDPR): Richiedere la cancellazione dei dati del defunto, previo accordo con i beneficiari già raggiunti; la cancellazione di documenti già consegnati non è tecnicamente garantita
Diritto di opposizione (Art. 21 GDPR): Opporsi alla consegna ai beneficiari non ancora raggiunta, nei termini e con le procedure di cui all'art. 10-bis dei Termini di Servizio

Disposizione di esclusione da parte dell'utente (Art. 2-terdecies, comma 1-bis): L'utente può, nelle impostazioni dell'account o in qualsiasi momento, indicare che alcuni o tutti i propri dati non devono essere accessibili agli eredi dopo il decesso, limitando l'esercizio dei diritti di cui sopra. Tale disposizione viene rispettata nei limiti consentiti dalla legge.

Conservazione dei Dati Post-Mortem

Dopo il decesso dell'utente e l'attivazione della consegna automatica:

I documenti consegnati ai beneficiari sono eliminati dall'account dell'utente defunto entro 30 giorni dalla consegna, salvo diverse istruzioni dell'utente
I dati anagrafici e di account del defunto sono conservati per il tempo necessario alla gestione delle eventuali controversie ereditarie (massimo 5 anni dal decesso accertato), poi eliminati in modo sicuro
I log di audit relativi all'account del defunto sono conservati per 2 anni ai sensi della normativa applicabile
I dati di fatturazione sono conservati per 10 anni per obbligo fiscale

Per la disciplina del conflitto tra eredi e beneficiari e per le procedure di opposizione, si rimanda all'art. 10-bis dei Termini di Servizio. Per qualsiasi richiesta relativa ai dati di un utente defunto: privacy@skrinium.it.

5. Misure di Sicurezza dei Dati

Protezione Avanzata dei Dati
Il sistema implementa molteplici livelli di sicurezza:

I documenti sono crittografati con AES-256-GCM (crittografia autenticata) durante l'archiviazione (encryption at-rest)
I nomi dei file e i campi sensibili del database sono crittografati con chiavi derivate da una chiave master esterna non memorizzata nel database stesso
La password non viene mai memorizzata in chiaro: viene applicato un hash crittografico irreversibile con sale casuale
I token di sessione e i token di conferma sono derivati tramite SHA-256 prima della memorizzazione
L'accesso ai dati è limitato, registrato e monitorato tramite audit log immutabile
La chiave di cifratura dei dati (DB_ENCRYPTION_KEY) è esterna al database e al codice applicativo: è gestita esclusivamente a livello di configurazione dell'infrastruttura

Disclosure tecnica: La chiave di cifratura è separata dal database e accessibile solo agli amministratori di sistema tramite credenziali dedicate. L'accesso agli ambienti di produzione è soggetto ad autenticazione forte, registrazione completa e revisione periodica. Anche con accesso all'infrastruttura, la decifratura dei documenti richiederebbe la conoscenza della chiave esterna e delle chiavi per-documento. Si raccomanda di non archiviare documenti che in nessun caso devono essere accessibili a terzi.

6. Conservazione dei Dati

Tipo di Dato	Periodo di Conservazione	Motivo
Dati account attivo	Per tutta la durata del contratto (fino a cancellazione account)	Erogazione del servizio contrattuale
Documenti utente	Fino a cancellazione dell'account o attivazione della consegna ai beneficiari; i documenti vengono eliminati in modo sicuro entro 30 giorni dalla cancellazione dell'account	Finalità del servizio
Log di sistema e audit trail	2 anni dalla data di registrazione dell'evento	Sicurezza, conformità normativa, difesa in giudizio
Dati di fatturazione	10 anni	Obbligo fiscale e contabile (Art. 2220 c.c.)
Backup di sistema	Massimo 30 giorni (rotazione automatica)	Ripristino del servizio in caso di incidente
Dati account inattivo (nessuna conferma vita ricevuta)	Il sistema attiva la procedura di consegna ai beneficiari dopo il periodo configurato (default: 365 giorni dall'ultima conferma vita), ai sensi dell'art. 10 dei Termini di Servizio; in assenza di beneficiari designati, l'account è soggetto a chiusura dopo 24 mesi di inattività completa, previa notifica e con diritto di export di 30 giorni, ai sensi dell'art. 11 dei Termini di Servizio (il sistema di consegna automatica non si attiva in assenza di beneficiari)	Gestione contrattuale dell'inattività

7. Comunicazione a Terzi e Responsabili del Trattamento

I dati possono essere comunicati a:

Beneficiari designati: Solo dopo attivazione del sistema di consegna (mancata conferma vita o consegna programmata)
Stripe Inc.: Per la gestione dei pagamenti e degli abbonamenti (dati di fatturazione e carta di credito)
Twilio Inc.: Per invio SMS e chiamate vocali di conferma vita (solo per piani Professional e Lifetime, se hai fornito un numero di telefono)
Provider di hosting/storage: Per l'archiviazione sicura dei documenti (con garanzie contrattuali)
Autorità competenti: Su richiesta legale motivata

Responsabili del Trattamento (Art. 28 GDPR): Stripe Inc. e Twilio Inc. operano come Responsabili del Trattamento ai sensi dell'art. 28 GDPR. Sono stati stipulati specifici Accordi sul Trattamento dei Dati (DPA - Data Processing Agreement) con ciascun fornitore. Copia dei DPA è disponibile su richiesta.

Notifica ai Beneficiari (Art. 14 GDPR): I beneficiari designati, i cui dati (nome, indirizzo email) vengono raccolti e trattati dal Titolare su indicazione dell'utente, riceveranno al momento dell'attivazione della consegna un'informativa ai sensi dell'art. 14 GDPR che indica l'origine dei dati, le finalità del trattamento e i diritti esercitabili.

Non vendiamo mai i tuoi dati a terzi per finalità commerciali o di marketing.

Nota su Stripe: I dati di pagamento (carta di credito, dati di fatturazione) sono gestiti esclusivamente da Stripe Inc. e non vengono mai memorizzati sui nostri server. Stripe è certificato PCI-DSS Level 1 e aderisce al EU-US Data Privacy Framework.

Nota su Twilio: Il numero di telefono viene condiviso con Twilio Inc. (USA) solo per l'invio di SMS e chiamate vocali nel sistema di conferma vita. Twilio opera come responsabile del trattamento con adeguate garanzie contrattuali (Standard Contractual Clauses).

8. Diritti dell'Interessato

Ai sensi degli artt. 15-22 del GDPR, hai il diritto di:

Accesso e Portabilità

Visualizzare i tuoi dati (Art. 15)
Ricevere copia dei dati in formato strutturato (Art. 20)
Esportare i documenti

Modifica e Cancellazione

Rettificare dati inesatti (Art. 16)
Cancellare i dati / diritto all'oblio (Art. 17)
Limitare il trattamento (Art. 18)

Opposizione e Revoca

Opporti al trattamento (Art. 21)
Revocare il consenso in qualsiasi momento (Art. 7.3)

Reclamo

Proporre reclamo al Garante Privacy (Art. 77)
www.gpdp.it

Come esercitare i diritti: Invia una richiesta a privacy@skrinium.it con documento di identità. La revoca del consenso non pregiudica la liceità del trattamento effettuato prima della revoca.

9. Sicurezza dei Dati

Crittografia AES-256-GCM

Crittografia autenticata a 256 bit

Storage S3 Sicuro

Wasabi Milano / AWS

Audit Completo

Log di ogni azione

2FA (TOTP)

Autenticazione forte

Verifica Firma Digitale

Verifica CAdES/PAdES

SPID/CIE

In fase di sviluppo

10. Cookie Policy

Questa Cookie Policy descrive cosa sono i cookie, quali tipologie utilizziamo, le finalità del loro utilizzo e come puoi gestire le tue preferenze, in conformità con il Regolamento UE 2016/679 (GDPR), la Direttiva ePrivacy 2002/58/CE e il D.Lgs. 196/2003 (Codice Privacy italiano) come modificato dal D.Lgs. 101/2018.

10.1 Cosa sono i Cookie

I cookie sono piccoli file di testo che vengono memorizzati sul tuo dispositivo (computer, tablet, smartphone) quando visiti un sito web. Servono a migliorare l'esperienza di navigazione, memorizzare preferenze e garantire il corretto funzionamento dei servizi.

10.2 Tipologie di Cookie Utilizzati

Cookie Tecnici (Strettamente Necessari)

Questi cookie sono essenziali per il funzionamento del sito e non possono essere disabilitati. Non richiedono consenso ai sensi dell'Art. 122 del Codice Privacy.

Nome Cookie	Fornitore	Finalità	Durata	Tipo
`session`	Skrinium	Mantiene la sessione utente autenticato e gestisce lo stato di login	Sessione (fino a chiusura browser)	Prima parte
`remember_token`	Skrinium	Permette di mantenere l'accesso tra sessioni successive ("Ricordami")	30 giorni	Prima parte
`csrf_token`	Skrinium	Protezione contro attacchi Cross-Site Request Forgery (CSRF)	Sessione	Prima parte
`cookie_consent`	Skrinium	Memorizza le preferenze sui cookie espresse dall'utente	12 mesi	Prima parte

Cookie di Terze Parti (Funzionali)

Questi cookie sono impostati da servizi esterni integrati nel sito per fornire funzionalità specifiche.

Nome Cookie	Fornitore	Finalità	Durata	Privacy Policy
`__stripe_mid`	Stripe Inc.	Prevenzione frodi e gestione pagamenti sicuri	1 anno	stripe.com/privacy
`__stripe_sid`	Stripe Inc.	Gestione sessione di pagamento	30 minuti	stripe.com/privacy

Non utilizziamo cookie di profilazione o tracciamento pubblicitario.
Non vengono effettuate attività di profilazione, remarketing o pubblicità comportamentale.

10.3 Base Giuridica per l'Utilizzo dei Cookie

Cookie tecnici: Interesse legittimo (Art. 6.1.f GDPR) - Non richiedono consenso preventivo
Cookie funzionali di terze parti: Consenso dell'utente (Art. 6.1.a GDPR) - Richiesto tramite banner

10.4 Come Gestire i Cookie

Puoi gestire le tue preferenze sui cookie in diversi modi:

Impostazioni Browser

Puoi configurare il tuo browser per bloccare o eliminare i cookie:

Banner Preferenze

Alla prima visita del sito, ti viene mostrato un banner per esprimere le tue preferenze. Puoi modificare le tue scelte in qualsiasi momento cliccando su "Gestisci Cookie" nel footer del sito.

Nota: La disabilitazione dei cookie tecnici potrebbe compromettere il corretto funzionamento del sito e impedirti di accedere alle funzionalità che richiedono l'autenticazione.

10.5 Trasferimento Dati Extra-UE

Alcuni cookie di terze parti (Stripe) potrebbero comportare il trasferimento di dati verso gli Stati Uniti. Stripe Inc. aderisce al EU-US Data Privacy Framework e garantisce un livello di protezione adeguato ai sensi della Decisione di Adeguatezza della Commissione Europea.

10.6 Aggiornamenti Cookie Policy

Questa Cookie Policy può essere aggiornata periodicamente. La data dell'ultimo aggiornamento è indicata in calce al documento. Ti consigliamo di consultare regolarmente questa pagina.

10.7 Riferimenti Normativi

Regolamento UE 2016/679 (GDPR)
Direttiva 2002/58/CE (ePrivacy)
D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018
Linee guida del Garante Privacy italiano sui cookie (10 giugno 2021)
Provvedimento Garante n. 229/2014

11. Trasferimenti Internazionali

I dati sono conservati su server localizzati nell'Unione Europea. Alcuni servizi di terze parti (Stripe, Twilio) possono comportare il trasferimento di dati specifici verso gli Stati Uniti, nel rispetto delle seguenti garanzie:

EU-US Data Privacy Framework: I fornitori aderiscono al framework di adeguatezza riconosciuto dalla Commissione Europea
Standard Contractual Clauses (SCC): Clausole contrattuali standard approvate dalla Commissione Europea
Minimizzazione dei dati: Vengono trasferiti solo i dati strettamente necessari al funzionamento del servizio

12. Notifica di Violazione dei Dati (Data Breach)

In conformità agli articoli 33 e 34 del GDPR, il Titolare ha adottato una procedura interna di gestione degli incidenti di sicurezza:

Rilevamento e contenimento: Ogni potenziale violazione viene immediatamente identificata, classificata per gravità e contenuta
Valutazione del rischio: Il team di sicurezza valuta le categorie di dati coinvolte, il numero di interessati e il livello di rischio per i diritti e le libertà
Notifica al Garante (Art. 33 GDPR): In caso di violazione con rischio per gli interessati, il Titolare notificherà il Garante Privacy italiano entro 72 ore dalla scoperta, includendo: natura della violazione, categorie e numero approssimativo di interessati coinvolti, possibili conseguenze, misure adottate o proposte
Comunicazione agli Interessati (Art. 34 GDPR): Se la violazione comporta un rischio elevato, gli utenti coinvolti saranno informati senza ingiustificato ritardo tramite email e notifica nell'area riservata, con indicazioni concrete per proteggersi (es. cambio password)
Registro delle violazioni (Art. 33.5 GDPR): Ogni violazione, anche se non notificata, viene documentata nel registro interno del Titolare

Canale segnalazione: Per segnalare potenziali vulnerabilità o violazioni: security@skrinium.it. Le segnalazioni in buona fede saranno trattate secondo la politica di Responsible Disclosure.

Consegna per errore e data breach: Qualora la consegna automatica dei documenti ai beneficiari sia avvenuta per errore (es. mancata ricezione dell'email di conferma vita), e tale consegna erronea costituisca una violazione dei dati personali ai sensi dell'art. 4.12 GDPR, si applicano le procedure di notifica di cui al presente articolo 12 (notifica al Garante entro 72 ore, comunicazione agli interessati senza ritardo). L'utente è invitato a segnalare immediatamente tali eventi a support@skrinium.it — per i dettagli delle misure correttive disponibili, si veda l'art. 10 dei Termini di Servizio.

13. Processo Decisionale Automatizzato (Art. 22 GDPR)

Il servizio utilizza i seguenti processi automatizzati che possono produrre effetti significativi:

Sistema di Consegna Automatica (Alta Rilevanza)

L'invio automatico dei documenti ai beneficiari designati è attivato dalla mancata risposta dell'utente al sistema di conferma vita entro i termini configurati. Questo processo produce effetti pratici significativi per i beneficiari (accesso a documenti riservati) e per l'utente (perdita del controllo sui documenti).

Base giuridica: Consenso esplicito dell'utente (Art. 6.1.a e 22.2.c GDPR) espresso al momento della registrazione
Garanzie: Prima della consegna, il sistema invia molteplici notifiche (email, SMS, chiamata vocale a seconda del piano) con un periodo di preavviso configurato
Intervento umano: L'utente può interrompere il processo in qualsiasi momento confermando la propria presenza tramite un clic. In caso di errore, contattare immediatamente support@skrinium.it per l'intervento manuale
Opposizione: L'utente ha il diritto di opporsi alla consegna automatica e di richiedere la revisione manuale del processo in qualsiasi momento

Consegna Programmata

I documenti possono essere consegnati automaticamente alle date programmate dall'utente. L'utente può modificare o annullare le consegne programmate in qualsiasi momento prima dell'esecuzione.

Protezione Anti-Frode (Brute-Force)

Il sistema blocca temporaneamente l'accesso dopo tentativi di login eccessivi. Il blocco si risolve automaticamente o su richiesta al supporto. Questo processo non produce effetti giuridici permanenti.

Diritto all'intervento umano (Art. 22.3 GDPR): Per qualsiasi processo automatizzato, l'utente ha il diritto di: (a) richiedere l'intervento di una persona fisica, (b) esprimere la propria opinione, (c) contestare la decisione. Contattare dpo@skrinium.it.

14. Protezione dei Dati dei Minori

Il servizio Skrinium è destinato esclusivamente a persone maggiorenni (almeno 18 anni di età). Non raccogliamo consapevolmente dati personali di minori. Se dovessimo venire a conoscenza di aver raccolto dati di un minore, procederemo alla cancellazione immediata degli stessi e dell'account associato.

14-bis. Informativa ai Beneficiari (Art. 14 GDPR)

I beneficiari designati dall'utente sono soggetti al trattamento dei propri dati personali (nome, cognome, indirizzo email) da parte del Titolare. Tali dati sono raccolti indirettamente dall'utente che li fornisce al momento della designazione.

Finalità: Invio delle notifiche di consegna documenti e delle comunicazioni necessarie al funzionamento del servizio
Base giuridica: Interesse legittimo del Titolare e dell'utente designante (Art. 6.1.f GDPR) — base primaria, in quanto il trattamento è strettamente necessario per eseguire il servizio a beneficio del soggetto designato —, e in senso lato, esecuzione di un contratto a favore di terzo ai sensi dell'art. 1411 c.c. (Art. 6.1.b GDPR in senso esteso). L'interesse legittimo è bilanciato dalla minimizzazione dei dati trattati (solo nome, cognome, email) e dalla possibilità di opposizione di cui al punto successivo
Conservazione: I dati del beneficiario sono conservati per tutta la durata del rapporto contrattuale con l'utente e cancellati entro 30 giorni dalla rimozione da parte dell'utente o dalla cancellazione dell'account
Diritti: I beneficiari possono esercitare tutti i diritti previsti dagli artt. 15-22 GDPR scrivendo a privacy@skrinium.it
Notifica: I beneficiari riceveranno l'informativa completa ai sensi dell'art. 14 GDPR al momento dell'invio della prima comunicazione da parte del sistema
Opposizione preventiva (opt-out): Un soggetto che ritenga di poter essere o essere già stato designato come beneficiario da un utente del servizio può richiedere di non essere registrato o mantenuto come beneficiario inviando una richiesta motivata a privacy@skrinium.it. Il Titolare registrerà l'opposizione e, nei limiti tecnici e contrattuali, la comunicherà all'utente interessato; l'opposizione non impedisce la designazione da parte dell'utente, che rimane nella sua responsabilità, ma il Titolare adotterà le misure ragionevoli per rispettare la volontà del soggetto opponente

15. Aggiornamenti della Privacy Policy

Eventuali modifiche sostanziali saranno comunicate con almeno 30 giorni di preavviso tramite:

Email di notifica all'indirizzo registrato
Avviso prominente nell'area riservata
Banner informativo al primo accesso successivo alla modifica

Le modifiche non sostanziali (aggiornamenti redazionali, correzioni formali) possono essere apportate senza preavviso. La data dell'ultimo aggiornamento è sempre visibile in calce al documento.

16. Contatti Privacy

Data Protection Officer (DPO)

Email: dpo@skrinium.it

Autorità Garante: In caso di problemi non risolti, puoi rivolgerti al Garante per la Protezione dei Dati Personali (www.gpdp.it)