Privacy Policy

Informativa sul trattamento dei dati personali ai sensi degli artt. 13-14 del Regolamento UE 2016/679 (GDPR).

1. Titolare del trattamento

WORKFORFAIT SRLS
Sede legale: Atessa (CH)
P.IVA: 02751030699
Email: info@ivalab.it

2. Responsabile del trattamento

WORKFORFAIT SRLS agisce come Responsabile del trattamento ex art. 28 GDPR per conto del commercialista partner, che riveste il ruolo di Titolare del trattamento per le attività di predisposizione e trasmissione della dichiarazione dei redditi. Il rapporto tra Titolare e Responsabile è regolato da apposito Data Processing Agreement (DPA).

3. Categorie di dati trattati

Nell'ambito della fornitura del servizio, vengono trattate le seguenti categorie di dati:

  • Dati anagrafici: nome, cognome, codice fiscale, indirizzo di residenza, numero di telefono, indirizzo email
  • Dati fiscali: partita IVA, codice ATECO, fatturato annuo, reddito imponibile, calcoli d'imposta e contributi, dichiarazioni dei redditi
  • Documenti caricati: ricevute, estratti conto, Certificazioni Uniche (CU), visure e altri documenti fiscali
  • Dati di navigazione: cookie tecnici necessari al funzionamento della piattaforma (sessione di autenticazione)

4. Finalità e base giuridica del trattamento

Finalità Base giuridica
Erogazione del servizio (dichiarazione dei redditi, calcolo imposte, scadenzario) Art. 6(1)(b) GDPR — esecuzione del contratto
Conservazione documenti fiscali, obblighi antiriciclaggio Art. 6(1)(c) GDPR — obbligo legale
Comunicazioni di servizio (stato pratica, scadenze) Art. 6(1)(b) GDPR — esecuzione del contratto

5. Destinatari dei dati

I dati possono essere comunicati alle seguenti categorie di destinatari:

  • Commercialista partner — Titolare del trattamento per la dichiarazione dei redditi
  • Supabase Inc. — sub-responsabile, hosting database e autenticazione (server UE, AWS eu-central-1, Francoforte)
  • Stripe Inc. — titolare autonomo per i dati di pagamento (certificato PCI-DSS)
  • Resend Inc. — sub-responsabile per email transazionali
  • Autorità fiscali e tributarie italiane, nei casi previsti dalla legge

6. Trasferimento dei dati extra-UE

I dati sono archiviati su server gestiti da Supabase nella regione AWS eu-central-1 (Francoforte, Germania), all'interno dell'Unione Europea.

Stripe e Resend possono trasferire dati verso Paesi terzi (USA). Tali trasferimenti avvengono nel rispetto delle garanzie previste dall'art. 46 GDPR, in particolare mediante:

  • Clausole Contrattuali Standard (SCCs) approvate dalla Commissione Europea
  • EU-US Data Privacy Framework (Decisione di adeguatezza della Commissione Europea del 10 luglio 2023)

7. Periodo di conservazione

I dati personali vengono conservati per tutta la durata del rapporto contrattuale e, successivamente alla sua cessazione, per il periodo necessario all'adempimento degli obblighi di legge.

In particolare, i documenti fiscali e i dati relativi alle dichiarazioni dei redditi vengono conservati per 10 anni dalla data della dichiarazione, in conformità all'art. 2220 del Codice Civile e alla normativa tributaria vigente.

In caso di cancellazione dell'account, i dati personali vengono rimossi entro 30 giorni, fatta salva la conservazione obbligatoria dei dati fiscali per il periodo previsto dalla legge.

8. Diritti dell'interessato

In qualità di interessato, hai il diritto di:

  • Accesso (art. 15 GDPR): ottenere conferma del trattamento e copia dei dati
  • Rettifica (art. 16 GDPR): correggere dati inesatti o incompleti
  • Cancellazione (art. 17 GDPR): richiedere la cancellazione dei dati ("diritto all'oblio"), nei limiti previsti dalla legge
  • Limitazione (art. 18 GDPR): limitare il trattamento in determinate circostanze
  • Portabilità (art. 20 GDPR): ricevere i dati in formato strutturato e trasmetterli a un altro titolare
  • Opposizione (art. 21 GDPR): opporsi al trattamento per motivi legittimi

Per esercitare i tuoi diritti, scrivi a info@ivalab.it. Hai inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

9. Misure di sicurezza

WORKFORFAIT SRLS adotta le seguenti misure tecniche e organizzative per la protezione dei dati personali:

  • Crittografia delle comunicazioni tramite protocollo TLS 1.3
  • Crittografia dei dati a riposo tramite AES-256 (Supabase/AWS)
  • Row Level Security (RLS): ogni utente accede esclusivamente ai propri dati
  • Autenticazione basata su JWT con scadenza temporizzata
  • Accesso ai dati limitato al personale autorizzato (principio del privilegio minimo)
  • Backup automatici giornalieri con conservazione cifrata

10. Cookie

IVALab utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio (sessione di autenticazione Supabase). Non vengono utilizzati cookie di profilazione, marketing o analytics di terze parti.

Per ulteriori informazioni consulta la nostra Cookie Policy.

11. Modifiche alla presente informativa

WORKFORFAIT SRLS si riserva di aggiornare la presente informativa. Eventuali modifiche sostanziali saranno comunicate via email o tramite avviso sulla piattaforma.

12. Riferimenti normativi

  • Regolamento UE 2016/679 (GDPR)
  • D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy), come modificato dal D.Lgs. 10 agosto 2018, n. 101
  • Provvedimento del Garante per la Protezione dei Dati Personali n. 229 del 2021 (Linee guida cookie)

13. Contatti

Per qualsiasi informazione relativa al trattamento dei tuoi dati personali:
info@ivalab.it

Ultimo aggiornamento: Marzo 2026