Informativa sulla Privacy

Privacy Policy
Informativa sul trattamento di dati personali ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR) per LEXNEW GESTIONALE

PREMESSA

La presente informativa tiene conto di quanto indicato dal GDPR e dal Codice della Privacy (D. Lgs 30 giugno 2003 n. 196). Il documento è stato redatto anche in base alle Linee Guida del Garante Privacy (soprattutto le Linee Guida di contrasto allo spam emesse del Garante Privacy il 4 luglio 2013).
Titolare del Trattamento: LEXNEW SRLS, Corso Trieste, 16 – 00198 Roma, CF/PI: 16204261008, indirizzo email: info@lexnew.it.
Gestionale alla quale si riferisce la presente privacy policy: LEXNEW GESTIONALE.
Il Titolare del Trattamento non ha nominato un DPO. Pertanto, Lei può inviare qualsiasi richiesta di informazioni direttamente al Titolare del Trattamento.
INFORMAZIONI GENERALI
Il presente documento descrive come il Titolare del Trattamento tratta i Suoi dati personali conferiti tramite il presente GESTIONALE.
Di seguito vengono descritti i principali trattamenti dei Suoi dati personali. Viene in particolare spiegata la base giuridica del trattamento, se il conferimento è obbligatorio e le conseguenze del mancato conferimento di dati personali. Per descrivere al meglio i Suoi diritti, qualora necessario, abbiamo specificato se e quando un determinato trattamento di dati personali non viene effettuato. Sul GESTIONALE Lei ha la possibilità di inserire dati personali di terzi soggetti. In questo caso Lei garantisce di aver ottenuto il consenso da parte di questi soggetti all’inserimento di questi dati personali. Pertanto, Lei si impegna a manlevare e tenere indenne il Titolare del Trattamento da qualsiasi responsabilità.

Registrazione al GESTIONALE
Le informazioni e i dati richiesti in caso di registrazione verranno utilizzati per consentirLe sia di accedere all’area riservata del GESTIONALE, sia di usufruire dei servizi on line offerti dal Titolare del Trattamento agli utenti registrati al GESTIONALE. La base giuridica del trattamento è la necessità del Titolare del Trattamento di eseguire misure precontrattuali adottate su richiesta dell’interessato. Il conferimento dei dati è facoltativo. Tuttavia, il Suo eventuale rifiuto di conferire i dati comporterà l’impossibilità di registrarsi al GESTIONALE. Sul GESTIONALE è possibile registrarsi utilizzando anche i servizi esterni. In questo caso i Suoi dati di registrazione saranno condivisi con le aziende di questi servizi esterni al solo fine di permettere la registrazione al GESTIONALE. La base giuridica di questo trattamento è il legittimo interesse del Titolare del Trattamento a permettere la registrazione al GESTIONALE tramite servizi esterni. Il conferimento dei dati personali per questa finalità è meramente facoltativo. Il mancato assenso al trattamento dei dati comporterà però l’impossibilità di registrarsi tramite servizi esterni.
Acquisti tramite il GESTIONALE
Non è possibile effettuare acquisti tramite il GESTIONALE. Pertanto, i Suoi dati personali non saranno trattati per questa finalità. Il Titolare del Trattamento non tratta i dati dell’utente per inviare email di “reminder” di acquisto di prodotti e/o servizi del Titolare stesso.
Rispondere alle Sue richieste
I Suoi dati verranno trattati per rispondere alle Sue richieste di informazioni. Il conferimento è facoltativo, ma il Suo rifiuto comporterà l’impossibilità per il Titolare del Trattamento di rispondere alle Sue domande. La base giuridica del trattamento è il legittimo interesse del Titolare del Trattamento a dare seguito alle richieste dell’utente. Questo legittimo interesse è equivalente all’interesse dell’utente a ricevere risposta alle comunicazioni inviate al Titolare del Trattamento.
Marketing generico
Previo Suo consenso, il Titolare del Trattamento potrà trattare i dati personali da Lei conferiti al fine di inviarLe materiale pubblicitario e/o newsletter relativo a prodotti propri o di terzi. La base giuridica di questo trattamento è il Suo consenso. Il conferimento dei dati personali per questa finalità è meramente facoltativo. Il mancato assenso al trattamento dei dati per finalità di marketing comporterà l’impossibilità per Lei di ricevere materiale pubblicitario relativo a prodotti/servizi del Titolare del Trattamento e/o di terzi nonché l’impossibilità per il Titolare del Trattamento di svolgere indagini di mercato, anche dirette a valutare il grado di soddisfazione degli utenti, nonché di inviarLe newsletter. L’invio di queste comunicazioni avverrà alla e-mail da Lei conferita tramite il GESTIONALE.
Profilazione
Previo Suo consenso, il Titolare del Trattamento potrà trattare i Suoi dati personali per finalità di profilazione, ossia per l’analisi delle Sue scelte di consumo attraverso la rivelazione della tipologia e della frequenza degli acquisti da Lei effettuati, al fine di inviarLe materiale pubblicitario e/o newsletter relativi a prodotti propri o di terzi, di Suo specifico interesse. La base giuridica di questo trattamento è il Suo consenso. Il conferimento dei dati per questa finalità è meramente facoltativo. Il mancato assenso al trattamento dei Suoi dati personali per finalità di profilazione comporterà l’impossibilità per il Titolare del Trattamento di elaborare il Suo profilo commerciale, mediante la rilevazione delle Sue scelte e abitudini di acquisto nonché di inviarLe materiale pubblicitario, relativo a prodotti del Titolare del Trattamento e/o di terzi, di Suo specifico interesse. Queste comunicazioni verranno inviate alla e-mail e/o al Suo numero di telefono.
Cessione dei dati
Il Titolare del Trattamento non cede a terzi i Suoi dati personali.
Geolocalizzazione
Il GESTIONALE non implementa strumenti di geolocalizzazione dell’indirizzo IP dell’utente.
Comunicazione dei dati personali
Nell’ambito della propria ordinaria attività, il Titolare del Trattamento può comunicare i Suoi dati personali a determinate categorie di soggetti. All’articolo 2 Lei può trovare l’elenco dei soggetti ai quali il Titolare del Trattamento comunica i Suoi dati personali. Per agevolare la tutela dei Suoi diritti, l’articolo 2 può specificare in alcuni casi quando i Suoi dati non vengono comunicati a terzi.
La “comunicazione” a terzi del dato personale è diversa dalla “cessione” (disciplinata al punto che precede). Infatti, nella comunicazione il terzo al quale è trasmesso il dato può usarlo solo per le specifiche finalità descritte nel rapporto con il Titolare del Trattamento. Nella cessione, invece, il terzo diventa Titolare del Trattamento autonomo del dato personale. Inoltre, per cedere i Suoi dati personali a terzi è sempre richiesto il Suo consenso.

Fermo quanto precede, resta inteso che il Titolare del Trattamento potrà comunque utilizzare i Suoi dati personali per dare corretto adempimento agli obblighi previsti dalle leggi in vigore.
INFORMATIVA PRIVACY SPECIFICA

Art. 1 Modalità di trattamento. Dati personali oggetto di trattamento
1.1 Il trattamento dei Suoi dati personali sarà principalmente effettuato con l’ausilio di mezzi elettronici o comunque automatizzati, secondo le modalità e con gli strumenti idonei a garantirne la sicurezza e la riservatezza in conformità al GDPR.
1.2 Le informazioni acquisite e le modalità del trattamento saranno pertinenti e non eccedenti rispetto alla tipologia dei servizi resi. I Suoi dati saranno altresì gestiti e protetti in ambienti informatici sicuri e adeguati alle circostanze.
1.3 Tramite il GESTIONALE possono essere trattati anche dati appartenenti a categorie particolari di dati personali ai sensi dell’art. 9 del GDPR, in particolare dati relativi alla salute, nei casi in cui l’utente o i soggetti da lui autorizzati carichino certificati medici o altra documentazione sanitaria strettamente necessaria per la gestione amministrativa, organizzativa e documentale delle attività svolte tramite il GESTIONALE.
Il trattamento di tali dati avviene esclusivamente nei limiti di quanto necessario rispetto alle finalità perseguite, con misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, nel rispetto dei principi di minimizzazione, integrità, riservatezza e limitazione della conservazione.
1.4 Tramite il Sito non vengono trattati dati giudiziari.
1.5 Tramite il GESTIONALE, il Titolare del Trattamento può trattare, a seconda delle funzionalità utilizzate, le seguenti categorie di dati personali:
• dati anagrafici e identificativi dell’utente e dei soggetti censiti nel GESTIONALE (nome, cognome, data e luogo di nascita, codice fiscale, sesso/genere, indirizzo, CAP, città, email, numero di telefono, Partita IVA);
• dati fiscali, amministrativi e contabili;
• dati contenuti nei documenti caricati dall’utente, quali, a titolo esemplificativo: documenti di identità, codice fiscale/tessera sanitaria, certificati medici, formulari, deleghe, moduli di iscrizione, documentazione richiesta ai fini del tesseramento o della partecipazione ad attività o eventi;
• dati relativi allo stato di verifica dei documenti caricati, alle date di caricamento, rilascio e scadenza, nonché ai metadati tecnici strettamente necessari alla corretta gestione documentale;
• dati relativi ai rapporti di delega tra utenti, ai tesseramenti, alle iscrizioni e ai soggetti eventualmente collegati (es. tutori, minori, partecipanti).

L’interessato che comunichi al Titolare dati personali di terzi è direttamente ed esclusivamente responsabile della loro provenienza, raccolta, inserimento e liceità del relativo trattamento, e garantisce di essere legittimato a comunicarli al Titolare del Trattamento.

Art. 1-bis – Pagine Pubbliche (Vetrina, Atleti, Istruttori)

Il GESTIONALE consente la creazione di pagine pubbliche accessibili online (es. pagina vetrina dell’ente, pagina atleti, pagina istruttori), nelle quali possono essere pubblicati dati personali inseriti dall’utente.

Finalità del trattamento
I dati sono trattati al fine di:

rendere visibili informazioni pubbliche dell’ente sportivo;
permettere la consultazione di dati relativi ad atleti, istruttori o collaboratori;
facilitare contatti, richieste di tesseramento o iscrizione.

Dati trattati
Possono essere pubblicati:

dati anagrafici (nome, cognome);
contatti (email, telefono);
informazioni sportive o professionali;
immagini/logo (se caricati);
altri dati inseriti volontariamente dall’utente.

Base giuridica

esecuzione del contratto (servizio del gestionale);
consenso dell’interessato, ove necessario.

Responsabilità dell’utente
L’utente che pubblica dati personali di terzi garantisce di:

essere autorizzato alla pubblicazione;
aver informato gli interessati;
aver raccolto eventuale consenso necessario.

Visibilità dei dati
I dati pubblicati nelle pagine vetrina sono accessibili a chiunque tramite internet e possono essere indicizzati dai motori di ricerca.

Art. 2 Comunicazione dei dati personali
Il Titolare del Trattamento può comunicare i Suoi dati personali a categorie determinate di soggetti, esclusivamente nei limiti strettamente necessari al perseguimento delle finalità indicate nella presente informativa e nel rispetto della normativa vigente.
In particolare, i Suoi dati personali potranno essere comunicati:
a) a soggetti pubblici o Autorità competenti, qualora ciò sia previsto da disposizioni normative, regolamentari o da provvedimenti amministrativi o giudiziari;
b) a soggetti pubblici e/o privati, persone fisiche e/o giuridiche, qualora la comunicazione risulti necessaria o funzionale al corretto adempimento di obblighi di legge, fiscali, amministrativi, contabili o alla tutela dei diritti del Titolare del Trattamento, quali, a titolo esemplificativo, consulenti legali, fiscali e amministrativi, Uffici Giudiziari, Camere di Commercio, Camere e Uffici del Lavoro;
c) a dipendenti e collaboratori del Titolare del Trattamento, appositamente autorizzati al trattamento, per esigenze strettamente connesse all’organizzazione, gestione e funzionamento del GESTIONALE;
d) a fornitori di servizi cloud, hosting, archiviazione documentale, backup, manutenzione software, assistenza tecnica e gestione dell’infrastruttura informatica, nominati, ove necessario, Responsabili del Trattamento ai sensi dell’art. 28 del GDPR;
e) ad Aruba Business S.r.l., con sede in Via Gulinelli 21/A, 44122 Ferrara (FE), per l’erogazione del servizio di invio e ricezione delle fatture elettroniche all’interno del GESTIONALE;
f) a Fabrick S.p.A., con sede in Piazza Gaudenzio Sella 1, 13900 Biella, per il servizio di contabilizzazione automatica dei movimenti bancari e per le funzionalità di integrazione bancaria eventualmente attivate dall’utente;
g) a piattaforme e fornitori di servizi per l’invio di comunicazioni elettroniche e newsletter. In particolare, per l’invio delle comunicazioni email istituzionali, di servizio e, previo consenso, di marketing, il Titolare del Trattamento si avvale di un sistema proprietario basato su infrastruttura cloud fornita da Amazon Web Services, mediante il servizio Amazon Simple Email Service (SES). In tale ambito possono essere trattati dati quali indirizzo email, oggetto del messaggio, contenuto della comunicazione e relativi metadati tecnici;
h) a Stripe Payments Europe, Ltd. e/o ad altre società del gruppo Stripe, tramite la funzionalità Stripe Connect, per la gestione dei pagamenti, degli incassi, dei trasferimenti, dell’onboarding dei soggetti collegati (connected accounts) e degli adempimenti di verifica richiesti dalla normativa applicabile. Nell’ambito di tale servizio, alcuni dati personali dell’utente e/o dei soggetti collegati possono essere comunicati a Stripe, inclusi, a titolo esemplificativo, dati identificativi, dati fiscali, dati bancari, dati relativi all’attività svolta, dati necessari alla verifica dell’identità e della conformità normativa, nonché dati tecnici e transazionali relativi ai pagamenti e ai trasferimenti. Stripe specifica che, a seconda del servizio prestato e del contesto operativo, può agire come titolare del trattamento e/o responsabile del trattamento.
La comunicazione dei dati personali a terzi è distinta dalla cessione dei dati. Nella comunicazione, il soggetto destinatario può trattare i dati solo per le finalità specifiche connesse al rapporto con il Titolare del Trattamento o previste dalla legge. La cessione dei dati a terzi per finalità autonome, invece, non viene effettuata dal Titolare del Trattamento, salvo specifico consenso dell’interessato o diversa base giuridica prevista dalla legge.
Il Titolare del Trattamento si riserva la facoltà di aggiornare l’elenco dei soggetti destinatari dei dati in funzione della propria ordinaria operatività, fermo restando che ogni trattamento avverrà nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e sicurezza previsti dal GDPR.

Art. 3 Conservazione dei dati personali
3.1 Il presente articolo descrive per quanto tempo il Titolare del Trattamento si riserva il diritto di conservare i Suoi dati personali.
I Suoi dati personali saranno conservati per il solo tempo necessario a garantire la corretta prestazione dei servizi offerti tramite il GESTIONALE.
Per finalità di marketing, i dati personali saranno conservati fino alla eventuale revoca del consenso. Per gli utenti inattivi, i dati personali verranno cancellati dopo un anno dall’invio dell’ultima email eventualmente visionata.
Per la finalità di eseguire il contratto di vendita, i dati verranno conservati per 10 anni dalla data di ricezione dell’ordine di acquisto. Ciò per permettere al Titolare del Trattamento l’esercizio del proprio diritto di difesa e per dimostrare di aver correttamente eseguito il contratto.
Per finalità di customer care, i dati verranno cancellati una volta completato il servizio di assistenza.
Come previsto dall’articolo 2220 del codice civile, le fatture, così come tutte le scritture contabili in generale, vengono conservate per un periodo minimo di dieci anni dalla data di registrazione, così da poter essere presentate in caso di controllo.
3.2 Fermo quanto previsto all’articolo 3.1, il Titolare del Trattamento può conservare i Suoi dati personali per il tempo richiesto da normative specifiche, come di volta in volta modificate.
3.4 Il Titolare del Trattamento si avvale dei server della Società Aruba S.p.A., Via San Clemente, 53 – 24036 Ponte San Pietro (BG), per la conservazione dei dati.
3.5 I documenti caricati nel GESTIONALE, inclusi i certificati medici, i documenti di identità, i codici fiscali/tessere sanitarie, i formulari e gli altri allegati documentali, saranno conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati caricati e, comunque, in conformità agli obblighi di legge, fiscali, amministrativi o di difesa in giudizio eventualmente applicabili. Decorso tale termine, i dati saranno cancellati o anonimizzati, salvo ulteriore conservazione imposta da obblighi normativi o necessaria per l’accertamento, l’esercizio o la difesa di un diritto.

Art. 4 Trasferimento dei dati personali
4.1 Trattamento all’interno dell’Unione Europea
Il Titolare del Trattamento ha sede all’interno dell’Unione Europea. Pertanto, il trattamento dei Suoi dati personali avviene, in via principale, all’interno dello Spazio Economico Europeo (SEE) ed è disciplinato dal Regolamento (UE) 2016/679 (GDPR), garantendo un elevato livello di tutela dei diritti e delle libertà fondamentali dell’interessato.
4.2 Trasferimenti verso Paesi extra-UE con garanzie adeguate
Nell’ambito dell’erogazione dei servizi offerti tramite il GESTIONALE, alcuni dati personali potrebbero essere trasferiti verso Paesi situati al di fuori dello Spazio Economico Europeo.
Tali trasferimenti avvengono esclusivamente nel rispetto degli articoli 44 e seguenti del GDPR e sono basati su una delle seguenti garanzie:
decisioni di adeguatezza della Commissione Europea;


Clausole Contrattuali Standard (Standard Contractual Clauses – SCC);


ulteriori misure tecniche e organizzative idonee a garantire un livello di protezione adeguato.


In particolare:
per l’invio delle comunicazioni email tramite Amazon Web Services (AWS – Amazon SES), alcuni dati personali (es. indirizzo email, contenuto dei messaggi e metadati tecnici) possono essere trattati anche su infrastrutture situate al di fuori dell’Unione Europea;


per l’utilizzo dell’assistente AI (Sportax AI basato su OpenAI), i dati inseriti nelle richieste (es. testo delle domande e nome utente) possono essere trasferiti e trattati su server situati anche al di fuori dello Spazio Economico Europeo;


per l’utilizzo del servizio di pagamento e incasso tramite Stripe Connect, alcuni dati personali (es. dati identificativi, fiscali, bancari e transazionali) possono essere trattati anche su infrastrutture situate al di fuori dell’Unione Europea;


per eventuali servizi di integrazione bancaria (es. Fabrick) o altri fornitori tecnologici, il trattamento può avvenire anche tramite sistemi distribuiti su più aree geografiche.


In tutti i casi sopra indicati, i fornitori del servizio adottano strumenti giuridici e tecnici idonei a garantire la protezione dei dati personali, nel rispetto del GDPR.

4.3 Trasferimenti verso Paesi extra-UE privi di decisione di adeguatezza
Qualora i dati personali siano trasferiti verso Paesi per i quali la Commissione Europea non ha adottato una decisione di adeguatezza, il trasferimento avverrà sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e, ove necessario, di ulteriori misure di sicurezza supplementari (es. cifratura, pseudonimizzazione, limitazione degli accessi).

4.4 Informazioni e garanzie per l’interessato
L’interessato può richiedere in qualsiasi momento informazioni in merito ai trasferimenti dei dati personali verso Paesi terzi, nonché copia delle garanzie adottate dal Titolare del Trattamento, contattando il Titolare ai recapiti indicati nella presente informativa.
4.5 Applicazione di normative estere più favorevoli
Qualora il Titolare del Trattamento indirizzi specificamente la propria attività verso utenti situati in Paesi diversi da quelli dell’Unione Europea, potrà trovare applicazione anche la normativa nazionale di tali Paesi, unitamente al GDPR.
Su richiesta dell’interessato, il Titolare si impegna ad applicare, ove possibile, la normativa eventualmente più favorevole prevista dalla legislazione applicabile.

Art. 5. Diritti dell’interessato
Il Titolare del Trattamento La informa che Lei ha diritto di:
chiedere al Titolare del Trattamento l’accesso ai Suoi dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che La riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
proporre reclamo a un’autorità di controllo (es.: il Garante per la protezione dei dati personali).
I diritti di cui sopra potranno essere esercitati con richiesta rivolta senza formalità ai contatti indicati in Premessa.
Art. 6. Gestione delle Deleghe degli Utenti
Finalità del trattamento:
Il Servizio di Gestione delle Deleghe consente ai Clienti di delegare l'accesso e la gestione del loro gestionale a un altro utente (delegato). Il trattamento dei dati avviene al fine di creare e gestire deleghe di accesso all'interno del GESTIONALE. La delega consente a un altro utente di operare con gli stessi privilegi del delegante, ma senza la possibilità di delegare ulteriormente.
Dati trattati:
Email del delegante e del delegato


Identificativi dell'utente (nome, cognome, email)
Base giuridica del trattamento:
Il trattamento dei dati personali avviene in base all'esecuzione di misure precontrattuali adottate su richiesta dell'interessato, ovvero il cliente che desidera delegare un altro utente. La delega è gestita esclusivamente all'interno del GESTIONALE per monitorare e assegnare i diritti di accesso.
Destinatari dei dati:
I dati relativi alla delega sono trattati dal sistema del GESTIONALE per consentire la gestione e l'assegnazione dei diritti di accesso. I dati del delegato possono essere visibili al delegante per il monitoraggio delle deleghe.

Art. 7. Servizio di Fatturazione Elettronica tramite Aruba
Finalità del trattamento:
Il Servizio di Fatturazione Elettronica consente di emettere e ricevere fatture elettroniche tramite la piattaforma Aruba. I dati trattati sono necessari per generare e gestire le fatture elettroniche, inviarle al Sistema di Interscambio (SdI) e riceverle. Il servizio è conforme alla normativa italiana ed europea in materia di fatturazione elettronica.
Dati trattati:
Dati fiscali (Partita IVA, Codice Fiscale)


Dati di pagamento (informazioni relative alle fatture)


Generalità dell'utente e dati di contatto (email, telefono)
Base giuridica del trattamento:
Il trattamento dei dati è necessario per adempiere agli obblighi fiscali e amministrativi previsti dalla normativa italiana e europea, e per l'esecuzione del contratto di fornitura del servizio.
Destinatari dei dati:
I dati sono trasmessi al Sistema di Interscambio (SdI) tramite la piattaforma Aruba, che gestisce l'invio e la ricezione delle fatture elettroniche.

Art. 8. Servizio di Contabilizzazione Automatica dei Movimenti Bancari con Fabrick
Finalità del trattamento:
Il Servizio di Contabilizzazione Automatica consente di automatizzare il processo di riconciliazione bancaria, acquisendo automaticamente i movimenti bancari tramite la piattaforma Fabrick, che si integra con il sistema bancario tramite open banking. I dati trattati includono i movimenti bancari, le transazioni e le relative informazioni contabili.
Dati trattati:
Dati bancari (movimenti bancari, transazioni)
Credenziali bancarie necessarie per l'integrazione con Fabrick
Base giuridica del trattamento:
Il trattamento dei dati bancari è effettuato per l'esecuzione di un contratto, in quanto necessario per fornire il servizio di riconciliazione bancaria e contabilità automatizzata.
Destinatari dei dati:
I dati possono essere comunicati alla piattaforma Fabrick per l'elaborazione automatica dei movimenti bancari. Inoltre, i dati potrebbero essere comunicati alle autorità fiscali e tributarie per finalità legali e amministrative.
Art. 8-bis. Gestione dei documenti caricati nel GESTIONALE
Finalità del trattamento:
Il GESTIONALE consente il caricamento, la consultazione, la verifica e la conservazione di documenti riferiti all’utente o a terzi soggetti gestiti dall’utente all’interno della piattaforma, per finalità amministrative, organizzative, gestionali e documentali connesse ai servizi offerti, incluse, ove applicabili, le procedure di iscrizione, tesseramento, partecipazione ad attività o eventi, verifica documentale, archiviazione e successiva consultazione.
Dati trattati:
Nell’ambito di tale funzionalità possono essere trattati:
documenti di identità;


codice fiscale e/o tessera sanitaria;


certificati medici e relativi dati di rilascio, scadenza e tipologia;


formulari, moduli e altra documentazione caricata dall’utente;


dati identificativi dei soggetti cui il documento si riferisce;


dati relativi alla verifica del documento (es. stato di verifica, data verifica, soggetto verificatore, ove previsto dal sistema).


Base giuridica del trattamento:
Il trattamento dei dati personali comuni è effettuato ai sensi dell’art. 6, par. 1, lett. b) del GDPR, in quanto necessario all’esecuzione del contratto o di misure precontrattuali richieste dall’interessato, nonché, ove applicabile, ai sensi dell’art. 6, par. 1, lett. c), per l’adempimento di obblighi di legge.
Qualora i documenti caricati contengano dati relativi alla salute, il trattamento avviene nei limiti consentiti dall’art. 9 del GDPR e della normativa nazionale applicabile, esclusivamente per finalità strettamente connesse alla gestione del servizio richiesto tramite il GESTIONALE e nei limiti della documentazione caricata dall’utente.
Conferimento dei dati:
Il conferimento dei dati è facoltativo, salvo i casi in cui il caricamento di specifici documenti sia necessario per utilizzare una determinata funzionalità del GESTIONALE o per completare una procedura richiesta dall’utente. In tali casi, il mancato conferimento comporterà l’impossibilità di completare la procedura o di usufruire del relativo servizio.
Destinatari dei dati:
I dati contenuti nei documenti possono essere trattati dal personale autorizzato del Titolare e da eventuali soggetti nominati Responsabili del Trattamento ai sensi dell’art. 28 GDPR, nei limiti strettamente necessari all’erogazione, manutenzione, assistenza tecnica, hosting, backup, archiviazione o gestione documentale del GESTIONALE. I dati potranno inoltre essere comunicati a soggetti terzi solo ove ciò sia necessario per l’adempimento di obblighi normativi o per l’esecuzione di specifiche funzionalità richieste dall’utente.
Misure di minimizzazione:
L’utente è invitato a caricare esclusivamente i documenti strettamente necessari e, ove possibile, privi di dati eccedenti rispetto alla finalità perseguita. In particolare, per la documentazione sanitaria, dovrà essere caricata solo la documentazione effettivamente richiesta dalla procedura e strettamente pertinente. Il principio di minimizzazione è uno dei principi espressamente previsti dal GDPR.
Art. 8-ter. Servizio di pagamento e incasso tramite Stripe Connect
Finalità del trattamento
Il GESTIONALE può integrare il servizio Stripe Connect al fine di consentire la gestione di pagamenti, incassi, trasferimenti di somme, onboarding di utenti o soggetti collegati, nonché la gestione degli adempimenti amministrativi, tecnici, fiscali e informativi connessi all’attivazione e all’utilizzo del servizio.
Il servizio può essere utilizzato anche per consentire a determinati utenti del GESTIONALE di operare come soggetti collegati alla piattaforma, ai fini della ricezione di pagamenti, trasferimenti o altre operazioni economiche rese disponibili tramite l’integrazione con Stripe.
Dati trattati
Nell’ambito del servizio Stripe Connect, il Titolare del Trattamento può trattare, direttamente o tramite il fornitore del servizio, a seconda delle funzionalità utilizzate e dei requisiti normativi applicabili, le seguenti categorie di dati:
dati anagrafici e identificativi del soggetto interessato e/o dei suoi rappresentanti;


dati fiscali, inclusi codice fiscale, partita IVA e altri dati richiesti dalla normativa applicabile;


dati bancari e informazioni necessarie per pagamenti, incassi e trasferimenti;


dati relativi all’attività economica o professionale svolta;


dati richiesti per la verifica dell’identità, dei rappresentanti legali, della titolarità effettiva o di altri soggetti rilevanti ai fini della conformità normativa;


dati tecnici e transazionali relativi ai pagamenti, agli incassi, ai trasferimenti e all’utilizzo del servizio.


Stripe prevede che le informazioni richieste per la verifica possano variare in base al Paese, alla tipologia di account, all’attività esercitata e alle funzionalità richieste sul conto collegato.
Base giuridica del trattamento
Il trattamento dei dati personali nell’ambito del servizio Stripe Connect è effettuato:
ai sensi dell’art. 6, par. 1, lett. b) del GDPR, in quanto necessario all’esecuzione del contratto o di misure precontrattuali richieste dall’interessato;


ai sensi dell’art. 6, par. 1, lett. c) del GDPR, ove il trattamento sia necessario per adempiere obblighi normativi, fiscali, contabili, antiriciclaggio, di verifica dell’identità o altri obblighi di legge applicabili;


ai sensi dell’art. 6, par. 1, lett. f) del GDPR, per il perseguimento del legittimo interesse del Titolare del Trattamento alla sicurezza del servizio, alla prevenzione delle frodi, alla corretta gestione dei pagamenti e alla tutela dei propri diritti.


Destinatari dei dati
I dati possono essere comunicati a Stripe e alle società del relativo gruppo, nonché a eventuali ulteriori soggetti coinvolti nell’erogazione del servizio di pagamento, onboarding, verifica, trasferimento fondi o compliance, nei limiti strettamente necessari all’esecuzione del servizio e agli obblighi di legge applicabili.
I dati potranno inoltre essere comunicati, ove necessario, a istituti bancari, circuiti di pagamento, provider finanziari, autorità pubbliche, organismi di vigilanza o altri soggetti legittimati dalla legge, per finalità connesse all’esecuzione del servizio o all’adempimento di obblighi normativi.
Ruolo di Stripe nel trattamento
In relazione ai servizi erogati tramite Stripe Connect, Stripe specifica nella propria informativa privacy che, a seconda della specifica attività svolta e del contesto del trattamento, può operare come data controller e/o data processor.
Conferimento dei dati
Il conferimento dei dati è facoltativo; tuttavia, il mancato conferimento dei dati richiesti per l’attivazione o l’utilizzo del servizio Stripe Connect potrà comportare l’impossibilità di utilizzare le funzionalità di pagamento, incasso, trasferimento, onboarding o gestione del conto collegato.
Conservazione dei dati
I dati trattati nell’ambito del servizio Stripe Connect saranno conservati per il tempo strettamente necessario all’erogazione del servizio, alla gestione del rapporto contrattuale, all’adempimento di obblighi normativi e alla tutela dei diritti del Titolare del Trattamento, fatti salvi eventuali ulteriori termini di conservazione previsti dalla legge.
Trasferimento dei dati
I dati trattati nell’ambito del servizio Stripe Connect possono essere trasferiti anche al di fuori dell’Unione Europea, nel rispetto degli artt. 44 e seguenti del GDPR e sulla base degli strumenti di garanzia adottati dal fornitore del servizio. Stripe disciplina inoltre il trattamento e i trasferimenti internazionali dei dati nella propria informativa privacy.

Commissioni di piattaforma
Nell’ambito del servizio Stripe Connect, il GESTIONALE può applicare commissioni di piattaforma sulle operazioni elaborate tramite il servizio di pagamento, secondo quanto previsto nei Termini e Condizioni, nell’Offerta Commerciale o nelle specifiche condizioni del servizio attivato dall’utente. Tali commissioni sono distinte dalle commissioni eventualmente applicate da Stripe o da altri prestatori di servizi di pagamento.

Art. 9. Modifiche e Miscellanea
Il Titolare del Trattamento si riserva il diritto di apportare modifiche alla presente informativa in qualsiasi momento. Lei è quindi invitato a consultare con regolarità la presente informativa. In caso di modifiche sostanziali alla presente informativa privacy, il Titolare del Trattamento ne potrà dare comunicazione anche tramite email.
Art. 10 – Assistente Tecnico AI (Sportax AI – OpenAI) e Conservazione dei Log

10.1. All’interno del Gestionale è presente Sportax AI, un assistente tecnico basato su tecnologia OpenAI, che fornisce supporto operativo e risposte a domande fiscali, contabili e gestionali.

10.2. I log delle conversazioni con Sportax AI contengono, oltre al testo della domanda e della risposta, anche il nome utente dell’interessato. Poiché il nome utente costituisce un dato personale, lo si include nella definizione di “dati personali” di cui al GDPR.

10.3. I log vengono raccolti unicamente per finalità di:

miglioramento del servizio AI (debug, ottimizzazione delle risposte, monitoraggio della qualità);

analisi statistiche aggregate sull’utilizzo della funzionalità AI.

10.4. I log sono conservati sui server del Titolare per un massimo di 30 giorni dalla data di creazione, dopodiché vengono eliminati in modo irreversibile.

10.5. Su richiesta esplicita dell’interessato (tramite email a info@lexnew.it
), i log che contengono il suo nome utente verranno cancellati immediatamente, anche prima del termine dei 30 giorni.

10.6. Qualora l’interessato non desideri che il proprio nome utente compaia nei log, potrà richiedere in qualunque momento di procedere all’anonimizzazione o eliminazione anticipata, senza alcun costo e senza pregiudicare la liceità del trattamento già effettuato.

10.7. Le conversazioni con Sportax AI vengono inviate in forma crittografata ai server OpenAI, che le elabora e restituisce le risposte in tempo reale. OpenAI agisce in qualità di responsabile esterno del trattamento (Data Processor) e non conserva permanentemente i dati dell’utente oltre la sessione di elaborazione.

10.8. Le risposte e i documenti forniti da Sportax AI hanno finalità di supporto tecnico e informativo: è responsabilità esclusiva dell’utente verificarne la correttezza e l’adeguatezza prima di applicarli.

10.9. Selezionando la casella di consenso (ove prevista), l’utente acconsente esplicitamente al trattamento dei propri dati (nome utente e testo delle richieste) ai fini di funzionamento e miglioramento del servizio AI. Il mancato consenso comporta l’impossibilità di utilizzare l’assistente AI integrato nel Gestionale.
Art. 11 – Invio delle Comunicazioni Email tramite Sistema Proprietario (Amazon SES)

11.1 Finalità del trattamento
Il Titolare del Trattamento utilizza un sistema di invio email proprietario integrato nel GESTIONALE per:
• comunicazioni di servizio e operative (es. notifiche, avvisi tecnici, comunicazioni amministrative);
• comunicazioni istituzionali;
• invio di comunicazioni di marketing e newsletter, esclusivamente previo consenso dell’interessato.

11.2 Dati trattati
Nell’ambito dell’invio delle comunicazioni email possono essere trattati:
• indirizzo email del destinatario;
• nome e cognome (se disponibili);
• oggetto e contenuto del messaggio;
• dati tecnici di invio (timestamp, identificativi del messaggio);
• informazioni sullo stato di consegna (es. email consegnata, rifiutata, mancata consegna, segnalazione spam).

11.3 Base giuridica del trattamento
• Esecuzione del contratto o misure precontrattuali per le comunicazioni di servizio e istituzionali;
• Consenso dell’interessato per le comunicazioni di marketing e newsletter;
• Legittimo interesse del Titolare per il monitoraggio tecnico della corretta consegna delle comunicazioni e la prevenzione di abusi o malfunzionamenti del servizio.

11.4 Monitoraggio tecnico e log di invio
Il sistema di invio email registra eventi tecnici relativi allo stato delle comunicazioni (ad esempio: inviata, consegnata, non consegnata, rifiutata, segnalata come spam).
Tali informazioni sono utilizzate esclusivamente per finalità tecniche, statistiche e di sicurezza, e non per finalità di profilazione commerciale.

11.5 Conservazione dei dati
I dati relativi agli eventi di invio email sono conservati per un periodo limitato e proporzionato alle finalità del trattamento e comunque non superiore a quanto necessario per:
• garantire la tracciabilità tecnica delle comunicazioni;
• gestire eventuali contestazioni;
• adempiere a obblighi normativi.

11.6 Opposizione e revoca del consenso
L’interessato può in qualsiasi momento:
• revocare il consenso all’invio di comunicazioni di marketing;
• opporsi all’invio di comunicazioni non strettamente necessarie, nei limiti consentiti dalla legge.

La revoca del consenso non pregiudica la liceità del trattamento effettuato prima della revoca.