INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 Versione: 24 maggio 2026 1. Titolare del trattamento Il titolare del trattamento è SGAI s.r.l., C.F. 04980750279, contattabile all'indirizzo email tool@processotributario.it. 2. Responsabile del trattamento e infrastruttura tecnica I dati sono trattati su infrastrutture di Aruba S.p.A., designata responsabile del trattamento ai sensi dell'art. 28 GDPR per i servizi di hosting e infrastruttura tecnica necessari al funzionamento di TAC. Aruba S.p.A. tratta i dati secondo le istruzioni del titolare e nei limiti del servizio tecnico reso. 3. Tipologie di dati trattati Per la registrazione e l'utilizzo del servizio TAC sono trattati: nome, cognome, indirizzo email, credenziali di accesso conservate mediante hash non reversibile, dati tecnici di registrazione, conferma account e autenticazione, timestamp, indirizzo IP, user agent, log di sicurezza, metadati delle generazioni e informazioni necessarie a documentare la prestazione del consenso. Il servizio TAC è progettato affinché i PDF selezionati dall'utente restino nel browser. TAC non richiede né conserva i PDF originali dell'utente e non ne analizza il contenuto sui server del titolare, salvo diversa futura funzionalità espressamente indicata e disciplinata. 4. Finalità e basi giuridiche I dati sono trattati per le seguenti finalità: a) creazione e gestione dell'account, autenticazione e accesso al servizio TAC, sulla base dell'esecuzione di misure precontrattuali o contrattuali richieste dall'interessato; b) sicurezza applicativa, prevenzione di abusi, gestione dei reset password, tracciamento tecnico essenziale, continuità del servizio e tutela dei diritti del titolare, sulla base del legittimo interesse del titolare; c) conservazione della prova della presa visione dell'informativa privacy e del consenso prestato, sulla base del legittimo interesse del titolare e degli obblighi di accountability; d) invio di comunicazioni informative relative a TAC e a SGAI, sulla base del consenso espresso dall'utente. 5. Registro consenso identificativo e misure rafforzate La prestazione del consenso è documentata in un registro interno dedicato. Il registro può contenere, direttamente o in forma cifrata, i dati identificativi necessari alla prova del consenso, tra cui nome, cognome, email, data e ora, indirizzo IP, user agent, versione dei testi accettati e impronte SHA-256 dell'informativa e del testo di consenso. Il registro consenso è protetto con misure rafforzate rispetto ai log ordinari: collocazione in area storage non accessibile via web, permessi restrittivi, registrazione append-only applicativa, catena hash progressiva, cifratura del payload identificativo quando l'ambiente PHP rende disponibile la funzione OpenSSL, separazione logica dai log tecnici ordinari e backup in area protetta non sovrascrivibile. La catena hash e le impronte dei testi accettati sono usate per rafforzare la prova dell'integrità storica del consenso. Tale sistema non equivale a una marcatura temporale qualificata; il titolare può esportare periodicamente il registro e sottoporlo a conservazione esterna, WORM o marcatura temporale qualificata per ulteriore rafforzamento probatorio. 6. Conservazione I dati dell'account sono conservati per tutta la durata dell'iscrizione e, dopo la cancellazione dell'account, per il tempo necessario alla tutela dei diritti del titolare, alla gestione di contestazioni e all'adempimento di obblighi di legge. Le evidenze relative alla registrazione, alla conferma account e al consenso sono conservate per finalità probatorie fino a 10 anni dalla cancellazione dell'account o dalla prestazione del consenso, salvo necessità di ulteriore conservazione in caso di contenzioso, richiesta dell'autorità o altra esigenza difensiva documentata. I log tecnici ordinari sono conservati per il tempo necessario alla sicurezza applicativa e alla verifica di anomalie. 7. Destinatari I dati possono essere trattati da soggetti autorizzati dal titolare e da fornitori tecnici strettamente necessari all'erogazione del servizio. Il principale fornitore infrastrutturale indicato è Aruba S.p.A., quale responsabile del trattamento ai sensi dell'art. 28 GDPR. I dati non sono diffusi. 8. Trasferimenti extra SEE Il titolare non prevede trasferimenti di dati personali fuori dallo Spazio Economico Europeo. Qualora ciò si rendesse necessario per specifici servizi tecnici, il trasferimento avverrà solo in presenza delle garanzie previste dagli artt. 44 e seguenti GDPR. 9. Diritti dell'interessato e procedura di esercizio L'interessato può esercitare i diritti previsti dagli artt. 15-22 GDPR, tra cui accesso, rettifica, cancellazione, limitazione, opposizione, portabilità ove applicabile e revoca del consenso, scrivendo a tool@processotributario.it. La richiesta deve consentire l'identificazione dell'interessato e indicare il diritto che si intende esercitare. Il titolare fornisce riscontro entro un mese dal ricevimento della richiesta, salvo proroga nei casi consentiti dal GDPR in ragione della complessità o del numero delle richieste. La revoca del consenso alle comunicazioni informative non pregiudica la liceità del trattamento effettuato prima della revoca e non incide sulla conservazione delle evidenze necessarie alla prova storica del consenso già prestato. L'interessato può proporre reclamo al Garante per la protezione dei dati personali. 10. Data breach In caso di violazione dei dati personali, il titolare applica una procedura interna di valutazione e documentazione dell'incidente. Quando ricorrono i presupposti di legge, il titolare provvede alla notifica al Garante e, nei casi di rischio elevato, alla comunicazione agli interessati. 11. Aggiornamenti La presente informativa può essere aggiornata. Ai fini probatori, al momento della registrazione viene conservata l'impronta hash della versione accettata dall'utente.