PRIVACY POLICY di ON THE CLOUD SRL

Informativa sul trattamento dei dati personali ai sensi degli artt. 12-14 del Regolamento UE 2016/679 (GDPR)

La presente informativa descrive in maniera completa e trasparente le modalità di trattamento dei dati personali da parte di On The Cloud S.r.l., nella persona del legale rappresentante pro tempore, in qualità di Titolare del trattamento, ai sensi degli articoli 12-14 del Regolamento UE 2016/679 (GDPR), del D.Lgs. 196/2003 così come modificato dal D.Lgs. 101/2018 e dei provvedimenti del Garante per la protezione dei dati personali.

L'obiettivo è garantire il pieno rispetto dei diritti degli utenti e dei clienti e assicurare la sicurezza e la riservatezza dei dati trattati.

Dati di contatto del Titolare | Dato | Riferimento |

| Ragione sociale | On The Cloud S.r.l.

| Sede legale | Corso Lodi 105, 20139 Milano

| P.IVA / Codice Fiscale | 12550480961

| Email | amministrazione@onthecloud.srl

| PEC | amministrazione@pec.onthecloud.srl

| Telefono | 02.87167858

| Sito web | www.onthecloud.srl

Contatto per la protezione dei dati

Per qualsiasi richiesta relativa ai dati personali, comunicazione o esercizio dei diritti previsti dagli artt. 15-22 GDPR, gli utenti possono contattare il Titolare all'indirizzo amministrazione@onthecloud.srl o tramite PEC all'indirizzo amministrazione@pec.onthecloud.srl.

On The Cloud S.r.l. valuta periodicamente, anche con il supporto di consulenti esterni qualificati, l'obbligatorietà della nomina formale di un Data Protection Officer (DPO) ai sensi dell'art. 37 GDPR. In caso di nomina, i relativi recapiti saranno tempestivamente comunicati agli utenti tramite il portale KonsoleX e pubblicati nella presente informativa.

1. Finalità e basi giuridiche del trattamento

On The Cloud S.r.l. tratta i dati personali degli utenti e clienti esclusivamente per finalità legittime e determinate. In particolare:

a) Esecuzione di contratti (art. 6, c. 1, lett. b GDPR)

- Gestione dei servizi cloud, container, hosting, posta elettronica certificata, supporto tecnico, backup e business continuity attivati su richiesta del Cliente;

- Gestione di licenze software e infrastrutture IT;

- Gestione del rapporto contrattuale, fatturazione, incassi e pagamenti (anche tramite Klarna);

- Erogazione del servizio tramite la piattaforma proprietaria KonsoleX.

b) Adempimento di obblighi legali (art. 6, c. 1, lett. c GDPR)

- Conservazione di documentazione fiscale e amministrativa;

- Obblighi contabili;

- Gestione di audit e obblighi previsti dalla normativa nazionale e dal GDPR;

- Adempimenti previsti dal Regolamento (UE) 2023/2854 (Data Act).

 c) Interessi legittimi del Titolare (art. 6, c. 1, lett. f GDPR)

- Miglioramento dei servizi;

- Analisi statistiche anonime per ottimizzazione delle infrastrutture;

- Rilevamento e prevenzione di attività fraudolente o attacchi informatici;

- Sicurezza informatica delle reti e dei sistemi (Considerando 49 GDPR).

d) Consenso dell'interessato (art. 6, c. 1, lett. a GDPR)

- Invio di comunicazioni informative o promozionali (newsletter);

- Campagne marketing su servizi/prodotti diversi da quelli acquistati;

- Profilazione commerciale (laddove esplicitamente attivata).

Il consenso è sempre revocabile in qualsiasi momento, senza pregiudizio per la liceità del trattamento precedente alla revoca.

Obbligatorietà del conferimento

Il conferimento dei dati indicati come obbligatori nei moduli di iscrizione o d'ordine è necessario per dar seguito al rapporto contrattuale richiesto. Il mancato conferimento di tali dati comporta l'impossibilità di attivare il servizio.

Il conferimento dei dati per finalità di marketing e profilazione è invece facoltativo e l'eventuale rifiuto non pregiudica l'erogazione del servizio principale.

2. Tipologia di dati trattati

I dati raccolti possono comprendere:

Dati identificativi e di contatto

- Nome, cognome, ragione sociale

- Indirizzo email, numero di telefono

- Indirizzo di fatturazione e di residenza/sede

- Codice fiscale e/o partita IVA

Dati tecnici e di navigazione

- Indirizzo IP

- Sistema operativo, browser, dispositivo utilizzato

- Pagine visitate, log di accesso, dati statistici

- Cookie tecnici e statistici (vedi sezione 6)

In particolare, i sistemi informatici e le procedure software preposte al funzionamento del portale KonsoleX acquisiscono dati quali: indirizzo IP, nomi a dominio dei computer e dei terminali utilizzati, browser, sistema operativo, indirizzi in notazione URI/URL delle risorse richieste, orario della richiesta, metodo utilizzato per la richiesta al server, dimensione del file ottenuto in risposta e codice numerico indicante lo stato della risposta.

Dati tecnici dell'app KonsoleX

Per l'utilizzo dell'app KonsoleX possono essere trattati anche dati tecnici del dispositivo e dell'app (versione OS e app, identificativi tecnici, log di crash/performance), nonché token per notifiche push se attivate dall'utente.

Dati di traffico per servizio PEC

Per il servizio di Posta Elettronica Certificata (PEC) sono trattati:

- Copia del documento di identità

- Dati di traffico telematico

- LOG dei messaggi PEC

Dati relativi alle preferenze dell'utente

- Preferenze su comunicazioni informative

- Configurazioni di servizi cloud

- Notifiche

Dati particolari (art. 9 GDPR)

On The Cloud S.r.l. non richiede né tratta dati particolari (origine razziale o etnica, opinioni politiche, convinzioni religiose, dati genetici/biometrici, dati relativi alla salute o vita sessuale) né dati giudiziari (art. 10 GDPR), salvo nei casi in cui ciò sia strettamente necessario per la prestazione richiesta, previa apposita informativa e consenso esplicito dell'Interessato.

 3. Modalità di trattamento e sicurezza dei dati

Il trattamento dei dati avviene principalmente con strumenti elettronici e informatici, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, integrità e riservatezza previsti dagli articoli 5 e 32 GDPR.

On The Cloud S.r.l. adotta misure tecniche e organizzative adeguate per:

- Protezione dei dati da accessi non autorizzati, perdite, divulgazioni o alterazioni;

- Backup regolari e procedure di disaster recovery (ove previsto contrattualmente);

- Crittografia dei dati sensibili in transito e a riposo;

- Controlli periodici sulla sicurezza delle infrastrutture e degli ambienti IT (server, container, storage distribuito, servizi cloud);

- Formazione regolare del personale autorizzato sul trattamento dei dati;

- Procedure per la gestione tempestiva dei Data Breach (notifica entro 72 ore, art. 33 GDPR).

L'accesso ai dati è limitato al personale autorizzato e formato sulla protezione dei dati.

4. Comunicazione e trasferimento dei dati

4.1 Categorie di destinatari

I dati personali possono essere comunicati a:

- Sub-Responsabili del trattamento (Sub-Processori): provider cloud terzi che forniscono l'infrastruttura tecnica sottostante ai servizi (vedi Lista Sub-Processori allegata al Contratto, parte integrante della presente Informativa);

- Terzi fornitori e Società del Gruppo per adempimenti amministrativi e contabili;

- Istituti di credito e di pagamento digitale (inclusi Klarna e gateway di pagamento) per la gestione di incassi, pagamenti e rimborsi;

- Professionisti e consulenti esterni (es. consulenti privacy, legali, fiscalisti);

- Amministrazione finanziaria, Enti pubblici, Autorità di vigilanza per obblighi di legge;

- Soggetti formalmente delegati (rappresentanti legali, curatori, tutori);

- Autorità giudiziaria in caso di richieste motivate.

I Sub-Responsabili principali sono elencati nella Lista Sub-Processori allegata al Contratto di servizio. Tale lista include, a titolo esemplificativo: Amazon Web Services, Microsoft Azure, Google Cloud, Hetzner, OVH, Contabo, Klarna.

4.2 Trasferimenti di dati al di fuori dello Spazio Economico Europeo (EEA)

On The Cloud S.r.l., per impostazione predefinita, conserva i dati in datacenter situati all'interno dello Spazio Economico Europeo (EEA), scelti dal Cliente tra i provider proposti nella piattaforma KonsoleX.

Scelta autonoma di location extra-EEA da parte del Cliente. Qualora il Cliente scelga autonomamente, tramite il pannello KonsoleX, una location al di fuori dell'EEA (tramite operatori terzi quali AWS, Microsoft Azure, Google Cloud), i trasferimenti sono regolati da:

- Decisioni di adeguatezza della Commissione UE (es. Data Privacy Framework per gli USA);

- Standard Contractual Clauses (SCC) approvate dalla Commissione UE;

- Altre garanzie appropriate previste dall'art. 46 GDPR.

In tali casi, On The Cloud assiste il Cliente nell'identificazione delle garanzie applicabili ma il rapporto contrattuale sui trasferimenti extra-EEA è disciplinato direttamente dal Cloud Provider sottostante (es. AWS DPA, Microsoft DPA, Google CDPA), come previsto dal Contratto.

4.3 Esclusioni

On The Cloud S.r.l. non vende, cede o noleggia i dati personali a società esterne per finalità commerciali o di profilazione di terzi.

Eventuali comunicazioni possono avvenire nei casi di operazioni straordinarie (fusioni, acquisizioni, cessioni di ramo d'azienda), previa informativa preventiva agli Interessati ove richiesto.

I dati personali sono accessibili al personale di On The Cloud S.r.l. debitamente autorizzato in base a criteri di necessità.

5. Periodi di conservazione

I dati personali sono conservati per il tempo necessario al perseguimento delle finalità per le quali sono stati raccolti, e comunque secondo i seguenti termini:

Tipologia di dati | Periodo di conservazione

Dati contrattuali e fiscali | 10 anni dalla cessazione del rapporto (art. 2220 c.c.)

Dati di iscrizione anagrafica | Per tutta la durata dell'iscrizione e non oltre 12 mesi di inattività

Dati per marketing diretto (con consenso) | Massimo 24 mesi dal consenso, salvo rinnovo

Dati per profilazione (con consenso esplicito) | Massimo 12 mesi

Log dei messaggi PEC | 30 mesi dalla data del messaggio (normativa di settore)

Dati di navigazione (in forma identificabile) | Massimo 6 mesi, poi anonimizzati per analisi statistiche

Dati per prevenzione frodi | Cancellati al termine delle fasi di controllo

Copia documento identità (PEC) | Secondo i termini previsti dalla normativa di settore

I dati personali possono essere conservati per periodi più lunghi se necessario per adempiere a obblighi di legge o per far valere/difendere diritti in sede giudiziaria.

La conservazione può avvenire mediante memorizzazione all'interno dei sistemi hardware e/o software del Titolare o dei suoi Sub-Responsabili esterni, o tramite archiviazione a norma del Codice dell'Amministrazione Digitale (CAD) attraverso soggetti accreditati.

6. Diritti dell'interessato

Gli utenti hanno i diritti previsti dagli artt. 15-22 del GDPR, tra cui:

Articolo GDPR | Diritto

Art. 15 | Diritto di accesso ai propri dati personali

Art. 16 | Diritto di rettifica dei dati inesatti o incompleti

Art. 17 | Diritto alla cancellazione ("diritto all'oblio")

Art. 18 | Diritto alla limitazione del trattamento

Art. 20 | Diritto alla portabilità dei dati in formato strutturato

Art. 21 | Diritto di opposizione al trattamento per motivi legittimi

Art. 22 | Diritto di non essere sottoposti a decisioni automatizzate, inclusa la profilazione, salvo eccezioni previste dalla legge

Modalità di esercizio dei diritti

Per esercitare tali diritti, l'Interessato può inviare richiesta motivata all'indirizzo amministrazione@onthecloud.srl o tramite PEC all'indirizzo amministrazione@pec.onthecloud.srl.

Il Titolare risponderà senza ingiustificato ritardo e comunque entro 30 giorni dalla richiesta (estendibili a 60 giorni in caso di richieste complesse, con relativa comunicazione all'Interessato).

Per garantire che i diritti siano esercitati dall'Interessato e non da terzi non autorizzati, il Titolare potrà richiedere ulteriori informazioni necessarie all'identificazione.

Diritto di reclamo

L'Interessato ha diritto di proporre reclamo:

- All'Autorità Garante per la Protezione dei Dati Personali italiana ([www.garanteprivacy.it](https://www.garanteprivacy.it));

- All'autorità di controllo dello Stato membro UE di propria residenza, luogo di lavoro o presunta violazione (art. 77 GDPR).

7. Cookie e tecnologie web

7.1 Tipologie di cookie utilizzati

Il sito web utilizza esclusivamente:

Tipologia | Finalità | Consenso richiesto

Cookie tecnici | Necessari al funzionamento del sito e dei servizi | No

Cookie funzionali | Salvataggio preferenze utente | No

Cookie statistici anonimi | Analisi aggregate del traffico | No (se anonimizzati)

On The Cloud S.r.l. non utilizza cookie di profilazione commerciale né strumenti di tracciamento di terze parti non essenziali.

7.2 Gestione dei cookie

L'utente può gestire i cookie tramite:

- Le impostazioni del proprio browser (Chrome, Firefox, Safari, Edge);

- Il cookie banner presente sul sito al primo accesso;

- La sezione dedicata "Gestione Cookie" accessibile da ogni pagina del sito.

La presente Privacy Policy è integrata dalla Cookie Policy disponibile alla pagina dedicata sul sito, redatta in conformità alle Linee Guida del Garante Privacy del 10 giugno 2021.

7.3 Tecnologie dell'app KonsoleX

L'app KonsoleX utilizza tecnologie necessarie al proprio funzionamento (salvataggio preferenze, gestione sessione, sicurezza), nonché eventuali notifiche push se attivate dall'utente.

8. Comunicazioni informative e marketing

8.1 Comunicazioni promozionali su servizi analoghi (Considerando 47 GDPR)

In conformità al Considerando 47 GDPR, On The Cloud può inviare ai propri clienti comunicazioni promozionali relative a servizi/prodotti analoghi a quelli già acquistati, anche senza esplicito consenso, fino a quando l'Interessato non si opponga.

L'opposizione può essere esercitata in qualunque momento tramite link di disiscrizione nelle email o contattando amministrazione@onthecloud.srl.

8.2 Newsletter e marketing su servizi diversi

L'invio di newsletter o comunicazioni promozionali su servizi/prodotti diversi da quelli acquistati avviene esclusivamente previo consenso esplicito dell'utente.

Il consenso può essere revocato in qualsiasi momento tramite:

- Link di disiscrizione presenti nelle email;

- Richiesta scritta a amministrazione@onthecloud.srl;

- Modifica delle preferenze nell'area personale KonsoleX.

8.3 Rispetto del Registro Pubblico delle Opposizioni

Nel caso di contatti telefonici per finalità di marketing diretto, On The Cloud S.r.l. verifica preventivamente l'iscrizione dei numeri al Registro Pubblico delle Opposizioni (RPO) di cui al D.P.R. 178/2010, escludendo dalla campagna i numeri ivi registrati.

9. Prevenzione delle frodi e sicurezza informatica

In linea con il Considerando 49 GDPR, On The Cloud S.r.l. tratta dati personali relativi al traffico nella misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dei sistemi informativi, prevenendo eventi imprevisti, atti illeciti o dolosi.

I dati personali raccolti ai soli fini antifrode sono immediatamente cancellati al termine delle fasi di controllo.

10. Switching e portabilità dei dati (Data Act - Regolamento UE 2023/2854)

In conformità al Regolamento (UE) 2023/2854 (Data Act), in vigore dal 12 settembre 2025, On The Cloud S.r.l. garantisce al Cliente:

- Pieno accesso ai propri dati durante la vigenza del servizio tramite KonsoleX e gli strumenti tecnici (database, file system, API);

- Possibilità di esportare e migrare i dati in formati strutturati di uso comune;

- Nessun ostacolo tecnico, contrattuale o commerciale al passaggio verso altro fornitore.

Maggiori dettagli sulle modalità di switching sono disciplinati dal Contratto di servizio (art. 14).

11. Aggiornamenti della Privacy Policy

On The Cloud S.r.l. si riserva di aggiornare periodicamente la presente Privacy Policy per adeguarla a modifiche normative, nuove funzionalità dei servizi o evoluzioni tecnologiche.

Eventuali aggiornamenti significativi saranno comunicati agli utenti tramite:

- Email all'indirizzo di registrazione;

- Notifica nell'area personale del portale KonsoleX;

- Avviso sul sito web istituzionale.

La data dell'ultima revisione è sempre indicata in calce al documento.

Ultima revisione: 20 maggio 2026