Politica sulla privacy

1. Chi siamo (Titolare del trattamento)

Il Titolare del trattamento è Matteo Martelloni, imprenditore individuale operante con il nome commerciale DeluxHost, con sede legale in Via della Motomeccanica 5/C, 00071 Pomezia (RM), P.IVA/Codice Fiscale IT17734661006.

• Sito web: https://deluxhost.net
• Email per richieste privacy: privacy@deluxhost.net
• Email generale / supporto: support@deluxhost.net
• Email segnalazione abusi: abuse@deluxhost.net
• Email certificata (PEC): deluxhost@mypec.eu

2. Doppio ruolo del Titolare

Quando utilizzi i nostri servizi, trattiamo dati personali in due ruoli distinti:

• (a) Come Titolare del trattamento — quando trattiamo i tuoi dati personali come cliente o visitatore: dati anagrafici, dati di contatto, informazioni di fatturazione, log di accesso, contenuti delle email che ci invii. La presente Informativa sulla privacy regola questo ruolo.
• (b) Come Responsabile del trattamento (Art. 28 GDPR) — quando, tramite i nostri server VPS, VDS e dedicati, transitano dati personali di tua scelta attraverso l'infrastruttura. Rispetto a questi dati sei tu il Titolare del trattamento e noi agiamo esclusivamente su tue istruzioni.
• Servizi acquistati tramite Rivenditori: il Rivenditore è generalmente il Titolare del trattamento per il rapporto commerciale con il cliente finale, mentre noi agiamo come Responsabile del trattamento ai sensi dell'Art. 28 GDPR.

3. Dati che trattiamo

Trattiamo le seguenti categorie di dati personali:

• Dati di registrazione e contrattuali: nome, cognome, ragione sociale, indirizzo, codice fiscale, partita IVA, codice destinatario / PEC, email, numero di telefono.
• Dati di pagamento: non archiviamo dati delle carte sui nostri sistemi. Le transazioni sono elaborate da Mollie B.V. (Paesi Bassi), PayPal (Europe) S.à r.l. (Lussemburgo) e Xeltox Enterprises Ltd / Cryptomus (Canada), che agiscono come titolari del trattamento indipendenti.
• Dati tecnici: indirizzo IP, log di accesso al pannello di controllo, log di sistema, dati del browser e del dispositivo.
• Dati di comunicazione: contenuti di email, ticket di supporto e messaggi di live chat.
• Contenuti caricati sui servizi: dati personali contenuti in file, database e configurazioni archiviati sulla nostra infrastruttura — trattati come Responsabile del trattamento.
• Categorie particolari di dati: non trattiamo categorie particolari di dati (Art. 9 GDPR).

4. Perché trattiamo i dati e su quale base giuridica

Trattiamo i tuoi dati per le seguenti finalità:

• Registrazione dell'account, attivazione e fornitura dei servizi — Esecuzione di un contratto (Art. 6.1.b GDPR)
• Fatturazione, contabilità, obblighi fiscali — Obbligo legale (Art. 6.1.c GDPR)
• Supporto tecnico, gestione dei ticket, comunicazioni con i clienti — Esecuzione di un contratto (Art. 6.1.b GDPR)
• Comunicazioni di servizio (avvisi di manutenzione, avvisi di scadenza, avvisi di sicurezza) — Esecuzione di un contratto / obbligo legale
• Sicurezza dell'infrastruttura, prevenzione di abusi, frodi e attività illecite — Interesse legittimo (Art. 6.1.f GDPR)
• Gestione del programma referral / affiliazione — Esecuzione di un contratto (Art. 6.1.b GDPR)
• Gestione delle richieste degli interessati (Artt. 15-22 GDPR) — Obbligo legale (Art. 6.1.c GDPR)
• Difesa legale e gestione delle controversie — Interesse legittimo (Art. 6.1.f GDPR)
• Conformità alle richieste delle autorità — Obbligo legale (Art. 6.1.c GDPR)

5. Per quanto tempo conserviamo i dati

Periodi di conservazione per categoria di dati:

• Dati personali e contrattuali: per la durata del rapporto contrattuale e per 10 anni dopo la risoluzione.
• Documenti fiscali e contabili: 10 anni dall'emissione.
• Log di accesso al pannello e di sistema/sicurezza: fino a 12 mesi.
• Dati del cliente sui server (VPS, VDS, dedicati): eliminati entro 7 giorni dalla scadenza; i backup del pannello vengono conservati per 14 giorni totali dalla scadenza.
• Eliminazione dell'account su richiesta: elaborata entro 30 giorni (prorogabile di 60 giorni per casi complessi), fermo restando la conservazione obbligatoria dei dati fiscali.
• Dati prospect/lead: 24 mesi dall'ultimo contatto.
• Comunicazioni di supporto (ticket, email): 5 anni dalla chiusura.

6. Con chi condividiamo i dati

I dati possono essere condivisi con le seguenti categorie di destinatari:

• Datacenter: Qupra DC (Nieuwe Hemweg 26, 1013 CX Amsterdam) e Skylink Data Center BV (Bart van Slobbestraat 16B, 6471 WV Eygelshoven) — entrambi nei Paesi Bassi.
• Provider di backup esterno: Hetzner Online GmbH (Gunzenhausen, Germania).
• Provider di pagamento: Mollie B.V., PayPal (Europe) S.à r.l., Xeltox Enterprises Ltd / Cryptomus — che agiscono come titolari del trattamento indipendenti.
• Contabilità e fatturazione elettronica: Aruba S.p.A. (Ponte San Pietro, Italia).
• Supporto e live chat: Crisp IM SAS (Nantes, Francia).
• Internet Registry: RIPE NCC (Amsterdam) per la registrazione degli indirizzi IP e i contatti WHOIS/RDAP.
• Consulenti e professionisti: contabili, avvocati, vincolati dal segreto professionale.
• Autorità giudiziarie, di pubblica sicurezza e amministrative: quando richiesto dalla legge.
• I dati non vengono venduti, trasferiti o scambiati con terzi per finalità di marketing o profilazione.

7. Trasferimenti al di fuori dell'Unione Europea

Tutti i dati operativi e i backup vengono trattati all'interno dello Spazio Economico Europeo (Paesi Bassi e Germania). Alcuni provider ausiliari possono trasferire dati al di fuori del SEE:

• PayPal può trasferire dati negli Stati Uniti, coperti dall'EU-US Data Privacy Framework e dalle Clausole Contrattuali Standard (SCC).
• Xeltox Enterprises Ltd / Cryptomus ha sede in Canada, un paese coperto da una decisione di adeguatezza UE.
• Un elenco aggiornato dei provider e delle garanzie è disponibile su richiesta a privacy@deluxhost.net.

8. I tuoi diritti

In qualsiasi momento puoi esercitare i seguenti diritti ai sensi degli Articoli 15-22 del GDPR scrivendo a privacy@deluxhost.net:

• Accesso ai tuoi dati e alle informazioni sul loro trattamento.
• Rettifica di dati inesatti o incompleti.
• Cancellazione dei dati (diritto all'oblio) nei casi previsti dall'Art. 17.
• Limitazione del trattamento.
• Portabilità dei dati in un formato strutturato e leggibile da macchina.
• Opposizione al trattamento basato sull'interesse legittimo.
• Reclamo al Garante per la protezione dei dati personali (Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it) o all'autorità del tuo paese di residenza.

9. Misure di sicurezza

Adottiamo appropriate Misure Tecniche e Organizzative (MTO), incluse:

• Cifratura dei dati in transito (TLS) per tutte le comunicazioni con il sito e il pannello di controllo.
• Accesso controllato, autenticato e verificato ai sistemi di amministrazione.
• Segmentazione della rete, firewall e misure di protezione perimetrale.
• Backup periodici e ridondanza dei dati.
• Aggiornamenti costanti del sistema e patch di sicurezza.
• Procedure di gestione degli incidenti di sicurezza, con notifica all'autorità di controllo entro 72 ore (Art. 33 GDPR).
• Accordi di riservatezza con il personale e i fornitori di elaborazione autorizzati.

10. Modifiche alla presente politica

La presente politica può essere aggiornata per riflettere modifiche normative, organizzative o tecniche. La versione corrente è sempre pubblicata su questa pagina con la data dell'ultimo aggiornamento. Per modifiche sostanziali, ti informeremo tramite un avviso nell'area clienti o via email.