BOZZA in revisione legale — non vincolante. Questo documento non ha ancora valore contrattuale: verra aggiornato prima della pubblicazione ufficiale.

Informativa sulla Privacy

Versione 1.1 — Data entrata in vigore: 8 giugno 2026

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali raccolti attraverso la piattaforma SwissWork (disponibile su swisswork.io) e:

DCS Consulting Sagl
Via Giuseppe Motta 4
6850 Mendrisio (TI), Svizzera
IDE: CHE-198.307.480
Email: info@swisswork.io
Email privacy: privacy@swisswork.io

2. Normativa applicabile

La presente Informativa e redatta in conformita a:

  • LPD(Legge federale sulla protezione dei dati, RS 235.1), nella versione in vigore dal 1° settembre 2023, e relativa Ordinanza (OPDa)
  • GDPR(Regolamento UE 2016/679), applicabile ai trattamenti di dati di persone fisiche residenti nell'Unione Europea
  • Ulteriori normative svizzere ed europee applicabili al settore SaaS e ai servizi di contabilita digitale

3. Dati personali raccolti

Raccogliamo le seguenti categorie di dati personali, in funzione dell'utilizzo del Servizio:

3.1 Dati di account

  • Nome, cognome, indirizzo e-mail, password (in forma hash, mai in chiaro)
  • Numero di telefono (facoltativo)
  • Dati dell'organizzazione: ragione sociale, indirizzo, partita IVA/UID, logo (facoltativo)

3.2 Dati di fatturazione e pagamento

  • Piano di abbonamento scelto (Free, Pro, Business, Fiduciario)
  • Dati di pagamento: gestiti direttamente da Stripe Inc. SwissWork non archivia mai numeri di carta di credito o dati bancari completi
  • Storico transazioni, fatture di abbonamento

3.3 Contenuti inseriti dall'utente (dati operativi)

  • Clienti e fornitori: ragione sociale, recapiti, coordinate bancarie, codice fiscale/IVA
  • Fatture e documenti contabili: importi, descrizioni, riferimenti ordine
  • Dipendenti e collaboratori: nome, cognome, dati retributivi, ore lavorate, dati previdenziali (AHV/AVS)
  • Scontrini e ricevute: immagini caricate per riconoscimento automatico tramite AI (OCR), contenuto testuale estratto
  • Dati contabili generali: conti, movimenti, bilanci

3.4 Dati tecnici e di utilizzo

  • Indirizzo IP, tipo di browser, sistema operativo
  • Log di accesso e attivita (per sicurezza e debugging)
  • Dati di sessione e cookie tecnici strettamente necessari (vedere Sezione 10)

4. Finalita del trattamento e basi giuridiche

FinalitaBase giuridica (LPD/GDPR)
Erogazione del Servizio SwissWork (fatturazione, contabilita, HR, CRM)Esecuzione del contratto (art. 6 lett. b GDPR; LPD art. 31 lett. b)
Elaborazione AI/OCR degli scontrini caricatiEsecuzione del contratto; consenso esplicito al momento del caricamento
Gestione dell'abbonamento e fatturazioneEsecuzione del contratto; obbligo legale (conservazione documentazione fiscale)
Comunicazioni di servizio (email transazionali, notifiche)Esecuzione del contratto; legittimo interesse
Sicurezza informatica, prevenzione frodi, integrita dei datiLegittimo interesse (art. 6 lett. f GDPR)
Miglioramento del prodotto (log anonimi/aggregati)Legittimo interesse — i dati operativi degli utenti NON vengono usati per addestrare modelli AI
Adempimento obblighi legali (es. conservazione contabile)Obbligo legale (art. 6 lett. c GDPR; diritto CH applicabile)
Invio di comunicazioni commerciali (newsletter, aggiornamenti prodotto)Consenso esplicito, revocabile in qualsiasi momento

5. Sub-processori

Per erogare il Servizio, DCS Consulting Sagl si avvale dei seguenti fornitori terzi (sub-processori), con i quali ha stipulato o intende stipulare idonei accordi di trattamento dei dati (DPA):

FornitoreRuoloPaese / Server
Vercel Inc.Hosting applicazione web (frontend/backend)USA — server in Europa (Frankfurt, EU)
Supabase Inc.Database cloud (PostgreSQL)USA — server in Svizzera (Zurigo, eu-central-2)
Resend Inc.Email transazionaliUSA — infrastruttura globale AWS
Anthropic PBCAI/OCR per analisi scontrini e ricevuteUSA
Stripe Inc.Elaborazione pagamenti e abbonamenti — certificato PCI-DSS Livello 1USA — elaborazione globale

Nota: i dati del database primario sono archiviati nella regione Zurigo (CH), riducendo significativamente l'esposizione a trasferimenti internazionali per i dati operativi sensibili.

6. Trasferimenti di dati extra-UE/CH

Alcuni sub-processori operano al di fuori della Svizzera e dell'Unione Europea (principalmente negli Stati Uniti). DCS Consulting Sagl garantisce che tali trasferimenti siano coperti da adeguate garanzie:

  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914/UE), recepite contrattualmente con ciascun sub-processore USA
  • Swiss SCC / Garanzie equivalentiai sensi dell'art. 16 LPD per trasferimenti verso paesi senza adeguata protezione riconosciuta dall'IFPDT
  • Per Stripe e Anthropic: i dati trasferiti sono limitati allo stretto necessario (dati di pagamento per Stripe; immagini scontrini per Anthropic OCR)

Le immagini degli scontrini inviate per il riconoscimento ottico vengono elaborate in tempo reale e non vengono utilizzate per addestrare i modelli di Anthropic (in base ai termini di servizio API Enterprise applicabili).

7. Tempi di conservazione

Categoria di datiPeriodo di conservazione
Dati di account attivoPer tutta la durata del contratto + 30 giorni dopo la cancellazione
Documenti contabili (fatture, registrazioni)10 anni dalla data del documento (CO art. 958f)
Log di accesso e sicurezza12 mesi
Dati di fatturazione abbonamento10 anni (obbligo fiscale)
Immagini scontrini (originali)Fino alla cancellazione dell'account o richiesta dell'utente
Email marketingFino alla revoca del consenso
Dati backups30 giorni rolling

8. Diritti degli interessati

In qualita di interessato, Lei ha il diritto di:

  • Accesso (art. 25 LPD; art. 15 GDPR): ottenere conferma che i Suoi dati vengano trattati e riceverne copia
  • Rettifica (art. 32 LPD; art. 16 GDPR): correggere dati inesatti o incompleti
  • Cancellazione (“diritto all'oblio”, art. 32 LPD; art. 17 GDPR): richiedere l'eliminazione dei dati, salvo obblighi di conservazione legale
  • Limitazione del trattamento (art. 18 GDPR): in determinate circostanze, richiedere la sospensione del trattamento
  • Portabilita (art. 28 LPD; art. 20 GDPR): ricevere i Suoi dati in formato strutturato, leggibile da macchina (CSV/JSON export disponibile dalla piattaforma)
  • Opposizione (art. 21 GDPR): opporsi al trattamento basato su legittimo interesse, incluse comunicazioni marketing
  • Revoca del consenso: in qualsiasi momento, senza pregiudizio per la liceita del trattamento precedente
  • Non essere sottoposto a decisioni automatizzate (art. 22 GDPR): il Servizio non adotta decisioni automatizzate con effetti giuridici significativi

Per esercitare qualsiasi diritto, invii una richiesta scritta a support@swisswork.io. Risponderemo entro 30 giorni dalla ricezione.

9. Reclami all'autorita di controllo

Per utenti svizzeri:

Incaricato federale della protezione dei dati e della trasparenza (IFPDT)
Feldeggweg 1, 3003 Berna — www.ifpdt.admin.ch

Per utenti dell'Unione Europea:

L'Autorita di controllo competente nel Suo Stato membro di residenza. Elenco su edpb.europa.eu.

10. Cookie e tracciamento

SwissWork utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del Servizio. Non vengono utilizzati cookie di profilazione, marketing o pixel di tracciamento di terze parti (Meta Pixel, Google Analytics, ecc.).

Vercel Analytics: utilizziamo Vercel Analytics per raccogliere statistiche aggregate e anonime sulle visite (page views, paesi, dispositivi). Vercel Analytics non utilizza cookie di tracciamento e non identifica i singoli visitatori. I dati sono trattati da Vercel Inc. (USA) come responsabile del trattamento ai sensi delle Standard Contractual Clauses UE.

Per i dettagli completi: Cookie Policy.

11. Sicurezza dei dati

DCS Consulting Sagl adotta misure tecniche e organizzative adeguate, tra cui:

  • Cifratura in transito (TLS 1.2+) e a riposo
  • Database in Svizzera (Zurigo) con accesso ristretto
  • Autenticazione con password hash (bcrypt/Argon2)
  • Monitoraggio e log di sicurezza
  • Controllo accessi role-based (RBAC) all'interno delle organizzazioni

In caso di violazione dei dati personali (data breach) che comporti un rischio elevato, DCS Consulting Sagl notifichera l'IFPDT entro 72 ore e, ove necessario, informera gli utenti interessati.

11.b Presenza sui social media e piattaforme esterne

SwissWork mantiene una presenza ufficiale su LinkedIn (linkedin.com/company/swisswork), utilizzata per finalità di marketing, comunicazione del brand e relazione con clienti e potenziali clienti.

I dati personali che gli utenti inseriscono interagendo con i nostri contenuti su LinkedIn (commenti, reazioni, follow, messaggi diretti, condivisioni) sono trattati anche da LinkedIn Ireland Unlimited Company secondo la propria privacy policy. DCS Consulting Sagl agisce in qualità di contitolare del trattamentoai sensi dell'art. 26 GDPR per i dati statistici aggregati relativi alla pagina aziendale (numero di follower, demografia anonima, interazioni con i post).

DCS Consulting Sagl non scarica né archivia automaticamente i dati personali degli utenti che interagiscono con i contenuti su LinkedIn. Gli utenti possono in qualsiasi momento smettere di seguire la pagina, disattivare le notifiche o richiedere a LinkedIn la cancellazione dei propri dati attraverso le impostazioni della propria account.

12. Minori

SwissWork e un servizio rivolto esclusivamente a imprese e professionisti. Non raccogliamo consapevolmente dati di persone di eta inferiore ai 16 anni.

13. Modifiche alla presente Informativa

DCS Consulting Sagl si riserva il diritto di aggiornare la presente Informativa. In caso di modifiche sostanziali, gli utenti registrati saranno informati via email e/o tramite notifica in-app con almeno 14 giorni di preavvisoprima dell'entrata in vigore.