Informativa sulla Privacy

Stato del servizio

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

Non è stato designato un Responsabile della Protezione dei Dati (DPO) in quanto i requisiti di obbligatorietà di cui all'art. 37 GDPR non ricorrono per l'attività svolta.

2. Categorie di dati trattati

Nell'erogazione del servizio Nuvilius trattiamo le seguenti categorie di dati personali:

• Dati identificativi e di contatto dell'utente (nome, cognome, email, telefono, ruolo aziendale) e dell'impresa cliente (ragione sociale, P.IVA, Codice Fiscale, indirizzo, PEC).
• Dati di autenticazione (credenziali di accesso, token di sessione, eventuali identificativi Google in caso di Single Sign-On).
• Dati di dipendenti e collaboratori dell'utente caricati nella piattaforma: anagrafica, Codice Fiscale, data di nascita, documenti di identità, buste paga, certificati di formazione in materia di sicurezza sul lavoro, idoneità sanitarie, contratti.
• Dati di clienti e fornitori dell'utente: anagrafica, P.IVA, Codice Fiscale, indirizzi, contatti.
• Dati economici e finanziari: preventivi, fatture attive e passive, movimenti contabili, IBAN, transazioni bancarie acquisite tramite integrazioni PSD2 (Fabrick / Enable Banking).
• Dati di geolocalizzazione: coordinate dei cantieri, posizione GPS registrata durante le timbrature in entrata/uscita dei dipendenti dell'utente (quando attivato dalla funzionalità di rilevazione presenze).
• Documenti e immagini: fotografie di cantiere, documenti tecnici (DVR, PSC, POS, progetti), attestati.
• Dati di comunicazione: email (via Gmail API o IMAP), PEC, messaggi delle conversazioni telefoniche gestite dalla Segretaria Virtuale AI (trascrizioni testuali e relativi log).
• Dati di utilizzo: log degli accessi, azioni compiute nella piattaforma, metriche di performance, statistiche di utilizzo delle funzionalità AI.

Nuvilius non tratta categorie particolari di dati (art. 9 GDPR) ad eccezione dei dati relativi all'idoneità lavorativa (visite mediche) che potrebbero essere caricati dall'utente nell'ambito della gestione documentale del personale. Tali dati sono trattati esclusivamente per finalità di conformità alla normativa in materia di sicurezza sul lavoro (D.Lgs. 81/2008).

3. Finalità del trattamento

• Erogazione del servizio SaaS di gestione preventivi, cantieri, contabilità, personale e comunicazioni.
• Riconciliazione automatica dei movimenti bancari con le fatture, tramite algoritmi e intelligenza artificiale.
• Elaborazioni AI di supporto: classificazione documenti, estrazione dati da PDF e immagini, suggerimenti per preventivi, analisi email/PEC, sintesi conversazioni telefoniche.
• Assolvimento di obblighi di legge in materia fiscale, contabile, di sicurezza sul lavoro e di gestione del personale.
• Gestione amministrativa del rapporto contrattuale con l'utente (registrazione, supporto, fatturazione quando applicabile).
• Sicurezza della piattaforma, prevenzione abusi e frodi, risoluzione di incidenti tecnici.

4. Base giuridica

• Art. 6(1)(b) GDPR — Esecuzione del contratto: per l'erogazione delle funzionalità del servizio richieste dall'utente.
• Art. 6(1)(c) GDPR — Obblighi legali: conservazione di scritture contabili, documenti fiscali, adempimenti in materia di sicurezza sul lavoro.
• Art. 6(1)(f) GDPR — Legittimo interesse: sicurezza della piattaforma, prevenzione di usi impropri, miglioramento del servizio, difesa in giudizio.
• Art. 6(1)(a) GDPR — Consenso: per le funzionalità opzionali che richiedono connessioni a servizi di terze parti (Gmail, Google Calendar, aggregatori bancari PSD2, Segretaria Virtuale telefonica). Il consenso è sempre revocabile.

Relativamente ai dati di dipendenti, clienti e fornitori caricati nella piattaforma dal soggetto che la utilizza, tale soggetto agisce in qualità di Titolare del trattamento di tali dati e Nuvilius opera come Responsabile del trattamento ex art. 28 GDPR. È onere del soggetto utilizzatore garantire di disporre di una base giuridica idonea al trattamento.

Nella fase attuale di uso interno (vedi sopra "Stato del servizio"), il Titolare del servizio Nuvilius (3B S.R.L. in qualità di erogatrice del software) e il Titolare dei dati caricati nella piattaforma (3B S.R.L. in qualità di datrice di lavoro e referente di propri clienti e fornitori) coincidono nella medesima persona giuridica. La distinzione formale tra Titolare e Responsabile assumerà rilevanza pratica all'apertura del servizio a clienti esterni.

5. Responsabili esterni (sub-processori)

Per l'erogazione del servizio ci avvaliamo dei seguenti fornitori, nominati Responsabili del trattamento ai sensi dell'art. 28 GDPR. Con ciascuno è stato sottoscritto un Data Processing Agreement (DPA) o clausole equivalenti.

L'elenco aggiornato dei sub-processori è pubblicato su questa pagina. Eventuali modifiche sostanziali (aggiunta/sostituzione di un sub-processore) saranno comunicate all'utente con adeguato preavviso.

Focus: aggregazione conti via PSD2 (Enable Banking Oy)

La funzionalità di riconciliazione bancaria automatica di Nuvilius si avvale dei servizi di Enable Banking Oy, società finlandese autorizzata come AISP (Account Information Service Provider) ai sensi della Direttiva (UE) 2015/2366 (PSD2) dalla Finnish Financial Supervisory Authority (Finanssivalvonta). Si applicano le seguenti regole:

• Sola lettura: l'accesso ai conti bancari avviene esclusivamente in lettura. Nuvilius e Enable Banking non possono disporre pagamenti, bonifici, addebiti o altre operazioni dispositive sul conto dell'utente.
• Consenso esplicito presso la banca: l'utente concede il consenso all'accesso direttamente sui sistemi della propria banca, attraverso una procedura di Strong Customer Authentication (SCA) ex art. 97 PSD2. Il consenso è revocabile in qualsiasi momento dall'home banking della banca o dall'interfaccia di Nuvilius.
• Durata e rinnovo del consenso: ai sensi delle Regulatory Technical Standards (RTS) PSD2, il consenso ha una durata massima di 180 giorni e deve essere rinnovato dall'utente con una nuova autenticazione SCA. Nuvilius notifica per tempo l'utente quando il consenso si avvicina alla scadenza.
• Dati acquisiti: identificativo del conto, intestatario, IBAN, saldo, lista delle transazioni (data, importo, controparte, causale) per il periodo autorizzato dall'utente.
• Finalità: abbinamento automatico tra movimenti bancari e fatture/pagamenti registrati nel sistema, tramite algoritmi deterministici e modelli di intelligenza artificiale di supporto. Tutti gli abbinamenti suggeriti dalla AI sono soggetti a conferma manuale dell'utente.
• Trasferimenti: i dati transitano tra Enable Banking (Finlandia, UE) e i server di Nuvilius (Google Cloud, Irlanda, UE). Non vi è trasferimento extra-UE per questa specifica funzionalità.

6. Trasferimenti di dati extra-UE

Alcuni dei sub-processori hanno sede negli Stati Uniti o comunque possono trasferire dati al di fuori dell'Unione Europea. In tali casi il trasferimento è disciplinato da:

• Clausole Contrattuali Standard (SCC) ex art. 46 GDPR, nella versione aggiornata dalla Decisione di Esecuzione (UE) 2021/914.
• Misure supplementari adottate alla luce della sentenza della Corte di Giustizia UE Schrems II (C-311/18), tra cui crittografia dei dati in transito e a riposo, pseudonimizzazione quando tecnicamente possibile, limitazioni di accesso.
• Decisioni di adeguatezza della Commissione europea, ove applicabili (es. Regno Unito, Svizzera).

7. Tempi di conservazione

• Dati contabili e fiscali: 10 anni dalla data di registrazione (art. 2220 c.c. e obblighi tributari).
• Documenti di dipendenti: per la durata del rapporto di lavoro + 10 anni per gli adempimenti previdenziali e fiscali del datore di lavoro.
• Documenti di sicurezza: secondo i termini previsti dal D.Lgs. 81/2008 e dai relativi decreti attuativi (es. DVR, visite mediche).
• Email e PEC: fino a 90 giorni di default (configurabile dall'utente) salvo conservazione obbligatoria per legge.
• Log delle conversazioni telefoniche (Segretaria Virtuale AI): 90 giorni, salvo necessità di conservazione per contenzioso.
• Dati di account: per tutta la durata del rapporto contrattuale e fino a 12 mesi dopo la cessazione, per gestire richieste di ripristino e contenzioso.
• Log tecnici di sistema: 12 mesi.

8. Diritti dell'interessato

Ai sensi degli articoli 15-22 del GDPR, l'interessato ha diritto di ottenere:

• Accesso ai propri dati personali (art. 15).
• Rettifica di dati inesatti o incompleti (art. 16).
• Cancellazione ("diritto all'oblio", art. 17).
• Limitazione del trattamento (art. 18).
• Portabilità dei dati in formato strutturato e leggibile (art. 20).
• Opposizione al trattamento per motivi legittimi (art. 21).
• Non essere sottoposti a decisioni basate unicamente su trattamento automatizzato (art. 22).

I diritti possono essere esercitati scrivendo a privacy@nuvilius.com o alla PEC edil.3b.srl@legalmail.it. Risponderemo entro un mese dalla richiesta (termine prorogabile di due mesi ex art. 12(3) GDPR).

L'interessato ha inoltre diritto di proporre reclamo all'Autorità di controllo competente, il Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), o all'Autorità del proprio Stato membro di residenza.

9. Cookie e tecnologie simili

Il sito vetrina nuvilius.com utilizza esclusivamente cookie tecnici necessari al funzionamento e, se abilitato, Google Analytics per statistiche aggregate di visita. Non utilizziamo cookie di profilazione o pubblicità comportamentale.

L'applicazione Nuvilius utilizza localStorage e sessionStorage del browser per mantenere la sessione autenticata e memorizzare preferenze dell'utente. Non si tratta di cookie di tracciamento e non sono condivisi con terze parti.

10. Minori

Il servizio Nuvilius è destinato esclusivamente a utenti maggiorenni operanti in contesto professionale B2B. Non raccogliamo consapevolmente dati personali di soggetti di età inferiore ai 16 anni.

11. Modifiche alla presente informativa

La presente informativa può essere aggiornata. In caso di modifiche sostanziali l'utente sarà informato via email o tramite notifica all'interno dell'applicazione con congruo anticipo. La data di ultimo aggiornamento è riportata in cima alla pagina.