1. Titolare del trattamento
Inverso HUB S.R.L., operante come eleata (l'"Operatore", "noi", "ci"), è il titolare del trattamento per i dati personali trattati in connessione con il servizio eleata Peppol API (il "Servizio").
- Entità legale: Inverso HUB S.R.L.
- Sede legale: Ciudad Autónoma de Buenos Aires, Argentina
- CUIT: registrato (numero su richiesta)
- Contatto privacy: privacy@eleata.io
- Contatto sicurezza: security@eleata.io
- Rappresentante UE (GDPR Art. 27): designato — vedere la sezione Informativa per i dettagli attuali
2. Ambito
Questa Informativa sulla privacy copre i dati che raccogliamo quando visiti peppol.eleata.io, crei un account, usi l'API, gli SDK o l'GitHub Action.
3. Dati che raccogliamo
3.1 Dati dell'account
- Indirizzo email (per l'autenticazione via magic-link e fatturazione)
- ID utente GitHub e email principale (se accedi con GitHub)
- Chiavi API hashate e prefissi delle chiavi
- Timestamp di creazione dell'account e timestamp dell'ultimo accesso
3.2 Dati di validazione
Quando invii una fattura XML per la validazione, elaboriamo temporaneamente il documento per eseguire le regole Schematron. Conserviamo i seguenti metadati:
- Hash SHA-256 del file (per caching e deduplicazione)
- Dimensione del file in byte
- Formato (Peppol BIS 3, XRechnung, Factur-X o UBL)
- Risultato della validazione (valido/non valido + elenco errori)
- Durata della validazione
- Identificatore del report pubblico (codice di 12 caratteri)
- Timestamp
Il payload XML viene automaticamente eliminato entro 72 ore dalla validazione. I metadati sono conservati per la riconciliazione della fatturazione e le statistiche di utilizzo.
3.3 Dati di fatturazione
L'elaborazione dei pagamenti è gestita da Paddle.com Market Limited (il nostro Merchant of Record). Non conserviamo i dati delle carte di credito. Conserviamo:
- ID cliente Paddle
- ID abbonamento Paddle
- Livello del piano e stato
- Data di fine del periodo di fatturazione corrente
3.4 Dati tecnici
- Indirizzo IP (per limitazione della velocità, anti-abuso e registrazione di sicurezza)
- Stringa User-Agent
- Timestamp delle richieste e codici di stato HTTP (log di audit)
4. Basi legali (GDPR Art. 6)
| Finalità | Base legale |
|---|---|
| Fornitura del Servizio (account, validazione) | Esecuzione del contratto (Art. 6(1)(b)) |
| Fatturazione e conformità fiscale | Obbligo legale (Art. 6(1)(c)) |
| Limitazione della velocità e registrazione di sicurezza | Legittimo interesse (Art. 6(1)(f)) |
| Email di marketing (solo se acconsenti) | Consenso (Art. 6(1)(a)) |
5. Residenza dei dati e trasferimenti
L'infrastruttura di elaborazione primaria è ospitata nell'Unione Europea (Hetzner, Falkenstein e Norimberga, Germania).
Alcuni dei nostri sub‑processori si trovano negli Stati Uniti. I trasferimenti di dati a tali entità sono regolati dalle Clausole Contrattuali Standard UE (SCC) e da una Transfer Impact Assessment (TIA). Vedi la nostra pagina Subprocessori per l'elenco completo.
6. Subprocessori
Ci avvaliamo di alcuni terzi processori di dati per gestire il Servizio. L'elenco attuale e le garanzie contrattuali sono pubblicati su /subprocessors/. Gli abbonati ricevono un preavviso di 30 giorni per qualsiasi nuovo sub‑processore tramite l'email del loro account.
7. Conservazione
- Payload XML: eliminati automaticamente entro 72 ore
- Metadati di validazione: 24 mesi (finestra di contestazione fatturazione + audit)
- Dati dell'account: fino alla cancellazione dell'account + 30 giorni di conservazione dei backup
- Dati di fatturazione: 10 anni (legge fiscale argentina)
- Log di audit (auth, modifiche chiavi API): 12 mesi
8. I tuoi diritti (GDPR Art. 15-22)
- Diritto di accesso ai tuoi dati
- Diritto di rettifica
- Diritto alla cancellazione ("diritto all'oblio")
- Diritto di limitazione del trattamento
- Diritto alla portabilità dei dati
- Diritto di opposizione
- Diritto di presentare reclamo a un'autorità di vigilanza
Esercita questi diritti inviando un'email a privacy@eleata.io. Rispondiamo entro 30 giorni.
9. Cookie e tracciamento
Non utilizziamo cookie di marketing né tracker di terze parti. Utilizziamo analisi lato server (Cloudflare Web Analytics o Plausible Analytics, entrambi orientati alla privacy e senza cookie) per misurare l'uso aggregato. Utilizziamo cookie di sessione solo per l'autenticazione e la protezione contro il cross-site request forgery (CSRF).
10. Sicurezza
- TLS 1.2+ obbligatorio per tutte le connessioni
- HSTS, CSP e altri header di sicurezza configurati
- Chiavi API memorizzate come hash bcrypt (mai in chiaro)
- Parser XML configurati contro attacchi XXE, billion-laughs e DTD esterni
- Firme dei webhook Paddle verificate (HMAC-SHA256) prima dell'elaborazione
- Crittografia del disco gestita da Hetzner a riposo
11. Notifica di violazione dei dati
In caso di violazione di dati personali che ti riguarda, ti informeremo entro 72 ore dal momento in cui ne veniamo a conoscenza, in conformità al GDPR Art. 33–34.
12. Contatti e reclami
Domande: privacy@eleata.io.
Se ritieni che abbiamo trattato i tuoi dati personali illegalmente, hai il diritto di presentare un reclamo all'autorità di protezione dei dati del tuo paese di residenza. Per i residenti argentini: Agencia de Acceso a la Información Pública (AAIP). Per i residenti UE: la tua autorità di vigilanza nazionale (ad es. CNIL in Francia, BfDI in Germania).
13. Modifiche
Notifieremo gli abbonati di modifiche sostanziali via email almeno 30 giorni prima. La versione e la data in cima a questa pagina indicano l'ultima revisione.