BOZZA in revisione legale — non vincolante. Questo documento non ha ancora valore contrattuale: verra aggiornato prima della pubblicazione ufficiale.
Informativa sulla Privacy
Versione 1.1 — Data entrata in vigore: 8 giugno 2026
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali raccolti attraverso la piattaforma SwissWork (disponibile su swisswork.io) e:
DCS Consulting SaglVia Giuseppe Motta 4
6850 Mendrisio (TI), Svizzera
IDE: CHE-198.307.480
Email: info@swisswork.io
Email privacy: privacy@swisswork.io
2. Normativa applicabile
La presente Informativa e redatta in conformita a:
- LPD(Legge federale sulla protezione dei dati, RS 235.1), nella versione in vigore dal 1° settembre 2023, e relativa Ordinanza (OPDa)
- GDPR(Regolamento UE 2016/679), applicabile ai trattamenti di dati di persone fisiche residenti nell'Unione Europea
- Ulteriori normative svizzere ed europee applicabili al settore SaaS e ai servizi di contabilita digitale
3. Dati personali raccolti
Raccogliamo le seguenti categorie di dati personali, in funzione dell'utilizzo del Servizio:
3.1 Dati di account
- Nome, cognome, indirizzo e-mail, password (in forma hash, mai in chiaro)
- Numero di telefono (facoltativo)
- Dati dell'organizzazione: ragione sociale, indirizzo, partita IVA/UID, logo (facoltativo)
3.2 Dati di fatturazione e pagamento
- Piano di abbonamento scelto (Free, Pro, Business, Fiduciario)
- Dati di pagamento: gestiti direttamente da Stripe Inc. SwissWork non archivia mai numeri di carta di credito o dati bancari completi
- Storico transazioni, fatture di abbonamento
3.3 Contenuti inseriti dall'utente (dati operativi)
- Clienti e fornitori: ragione sociale, recapiti, coordinate bancarie, codice fiscale/IVA
- Fatture e documenti contabili: importi, descrizioni, riferimenti ordine
- Dipendenti e collaboratori: nome, cognome, dati retributivi, ore lavorate, dati previdenziali (AHV/AVS)
- Scontrini e ricevute: immagini caricate per riconoscimento automatico tramite AI (OCR), contenuto testuale estratto
- Dati contabili generali: conti, movimenti, bilanci
3.4 Dati tecnici e di utilizzo
- Indirizzo IP, tipo di browser, sistema operativo
- Log di accesso e attivita (per sicurezza e debugging)
- Dati di sessione e cookie tecnici strettamente necessari (vedere Sezione 10)
4. Finalita del trattamento e basi giuridiche
| Finalita | Base giuridica (LPD/GDPR) |
|---|---|
| Erogazione del Servizio SwissWork (fatturazione, contabilita, HR, CRM) | Esecuzione del contratto (art. 6 lett. b GDPR; LPD art. 31 lett. b) |
| Elaborazione AI/OCR degli scontrini caricati | Esecuzione del contratto; consenso esplicito al momento del caricamento |
| Gestione dell'abbonamento e fatturazione | Esecuzione del contratto; obbligo legale (conservazione documentazione fiscale) |
| Comunicazioni di servizio (email transazionali, notifiche) | Esecuzione del contratto; legittimo interesse |
| Sicurezza informatica, prevenzione frodi, integrita dei dati | Legittimo interesse (art. 6 lett. f GDPR) |
| Miglioramento del prodotto (log anonimi/aggregati) | Legittimo interesse — i dati operativi degli utenti NON vengono usati per addestrare modelli AI |
| Adempimento obblighi legali (es. conservazione contabile) | Obbligo legale (art. 6 lett. c GDPR; diritto CH applicabile) |
| Invio di comunicazioni commerciali (newsletter, aggiornamenti prodotto) | Consenso esplicito, revocabile in qualsiasi momento |
5. Sub-processori
Per erogare il Servizio, DCS Consulting Sagl si avvale dei seguenti fornitori terzi (sub-processori), con i quali ha stipulato o intende stipulare idonei accordi di trattamento dei dati (DPA):
| Fornitore | Ruolo | Paese / Server |
|---|---|---|
| Vercel Inc. | Hosting applicazione web (frontend/backend) | USA — server in Europa (Frankfurt, EU) |
| Supabase Inc. | Database cloud (PostgreSQL) | USA — server in Svizzera (Zurigo, eu-central-2) |
| Resend Inc. | Email transazionali | USA — infrastruttura globale AWS |
| Anthropic PBC | AI/OCR per analisi scontrini e ricevute | USA |
| Stripe Inc. | Elaborazione pagamenti e abbonamenti — certificato PCI-DSS Livello 1 | USA — elaborazione globale |
Nota: i dati del database primario sono archiviati nella regione Zurigo (CH), riducendo significativamente l'esposizione a trasferimenti internazionali per i dati operativi sensibili.
6. Trasferimenti di dati extra-UE/CH
Alcuni sub-processori operano al di fuori della Svizzera e dell'Unione Europea (principalmente negli Stati Uniti). DCS Consulting Sagl garantisce che tali trasferimenti siano coperti da adeguate garanzie:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914/UE), recepite contrattualmente con ciascun sub-processore USA
- Swiss SCC / Garanzie equivalentiai sensi dell'art. 16 LPD per trasferimenti verso paesi senza adeguata protezione riconosciuta dall'IFPDT
- Per Stripe e Anthropic: i dati trasferiti sono limitati allo stretto necessario (dati di pagamento per Stripe; immagini scontrini per Anthropic OCR)
Le immagini degli scontrini inviate per il riconoscimento ottico vengono elaborate in tempo reale e non vengono utilizzate per addestrare i modelli di Anthropic (in base ai termini di servizio API Enterprise applicabili).
7. Tempi di conservazione
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati di account attivo | Per tutta la durata del contratto + 30 giorni dopo la cancellazione |
| Documenti contabili (fatture, registrazioni) | 10 anni dalla data del documento (CO art. 958f) |
| Log di accesso e sicurezza | 12 mesi |
| Dati di fatturazione abbonamento | 10 anni (obbligo fiscale) |
| Immagini scontrini (originali) | Fino alla cancellazione dell'account o richiesta dell'utente |
| Email marketing | Fino alla revoca del consenso |
| Dati backups | 30 giorni rolling |
8. Diritti degli interessati
In qualita di interessato, Lei ha il diritto di:
- Accesso (art. 25 LPD; art. 15 GDPR): ottenere conferma che i Suoi dati vengano trattati e riceverne copia
- Rettifica (art. 32 LPD; art. 16 GDPR): correggere dati inesatti o incompleti
- Cancellazione (“diritto all'oblio”, art. 32 LPD; art. 17 GDPR): richiedere l'eliminazione dei dati, salvo obblighi di conservazione legale
- Limitazione del trattamento (art. 18 GDPR): in determinate circostanze, richiedere la sospensione del trattamento
- Portabilita (art. 28 LPD; art. 20 GDPR): ricevere i Suoi dati in formato strutturato, leggibile da macchina (CSV/JSON export disponibile dalla piattaforma)
- Opposizione (art. 21 GDPR): opporsi al trattamento basato su legittimo interesse, incluse comunicazioni marketing
- Revoca del consenso: in qualsiasi momento, senza pregiudizio per la liceita del trattamento precedente
- Non essere sottoposto a decisioni automatizzate (art. 22 GDPR): il Servizio non adotta decisioni automatizzate con effetti giuridici significativi
Per esercitare qualsiasi diritto, invii una richiesta scritta a support@swisswork.io. Risponderemo entro 30 giorni dalla ricezione.
9. Reclami all'autorita di controllo
Per utenti svizzeri:
Incaricato federale della protezione dei dati e della trasparenza (IFPDT)
Feldeggweg 1, 3003 Berna — www.ifpdt.admin.ch
Per utenti dell'Unione Europea:
L'Autorita di controllo competente nel Suo Stato membro di residenza. Elenco su edpb.europa.eu.
10. Cookie e tracciamento
SwissWork utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del Servizio. Non vengono utilizzati cookie di profilazione, marketing o pixel di tracciamento di terze parti (Meta Pixel, Google Analytics, ecc.).
Vercel Analytics: utilizziamo Vercel Analytics per raccogliere statistiche aggregate e anonime sulle visite (page views, paesi, dispositivi). Vercel Analytics non utilizza cookie di tracciamento e non identifica i singoli visitatori. I dati sono trattati da Vercel Inc. (USA) come responsabile del trattamento ai sensi delle Standard Contractual Clauses UE.
Per i dettagli completi: Cookie Policy.
11. Sicurezza dei dati
DCS Consulting Sagl adotta misure tecniche e organizzative adeguate, tra cui:
- Cifratura in transito (TLS 1.2+) e a riposo
- Database in Svizzera (Zurigo) con accesso ristretto
- Autenticazione con password hash (bcrypt/Argon2)
- Monitoraggio e log di sicurezza
- Controllo accessi role-based (RBAC) all'interno delle organizzazioni
In caso di violazione dei dati personali (data breach) che comporti un rischio elevato, DCS Consulting Sagl notifichera l'IFPDT entro 72 ore e, ove necessario, informera gli utenti interessati.
11.b Presenza sui social media e piattaforme esterne
SwissWork mantiene una presenza ufficiale su LinkedIn (linkedin.com/company/swisswork), utilizzata per finalità di marketing, comunicazione del brand e relazione con clienti e potenziali clienti.
I dati personali che gli utenti inseriscono interagendo con i nostri contenuti su LinkedIn (commenti, reazioni, follow, messaggi diretti, condivisioni) sono trattati anche da LinkedIn Ireland Unlimited Company secondo la propria privacy policy. DCS Consulting Sagl agisce in qualità di contitolare del trattamentoai sensi dell'art. 26 GDPR per i dati statistici aggregati relativi alla pagina aziendale (numero di follower, demografia anonima, interazioni con i post).
DCS Consulting Sagl non scarica né archivia automaticamente i dati personali degli utenti che interagiscono con i contenuti su LinkedIn. Gli utenti possono in qualsiasi momento smettere di seguire la pagina, disattivare le notifiche o richiedere a LinkedIn la cancellazione dei propri dati attraverso le impostazioni della propria account.
12. Minori
SwissWork e un servizio rivolto esclusivamente a imprese e professionisti. Non raccogliamo consapevolmente dati di persone di eta inferiore ai 16 anni.
13. Modifiche alla presente Informativa
DCS Consulting Sagl si riserva il diritto di aggiornare la presente Informativa. In caso di modifiche sostanziali, gli utenti registrati saranno informati via email e/o tramite notifica in-app con almeno 14 giorni di preavvisoprima dell'entrata in vigore.