Email

info@dapi-certification.com
info@dapi-certification.com

Indirizzo

Via Vaccaro 5 Bologna,
Italy
Richiedi Certificazione
Digital Authentication for Personal IdentityDigital Authentication for Personal IdentityDigital Authentication for Personal Identity

Certificazione DAPI - Privacy Policy

Privacy Policy

La Certificazione DAPI è progettata per minimizzare l’esposizione dei dati producendo al contempo prove digitali verificabili. Questa Privacy Policy spiega quali dati raccogliamo, perché li raccogliamo, come li proteggiamo e quali diritti avete.

Ultimo aggiornamento: 8 gennaio 2026

📋 Indice

  1. Chi è il titolare del trattamento
  2. Quali dati trattiamo
  3. Cosa NON facciamo
  4. Finalità del trattamento
  5. Base giuridica
  6. Minimizzazione e conservazione dei dati
  7. Dove vengono archiviati e trattati i dati
  8. Condivisione dei dati e destinatari
  9. Trasferimenti internazionali
  10. Misure di sicurezza
  11. Cookie e tracciamento
  12. I vostri diritti
  13. Richieste relative alle prove certificate
  14. Modifiche a questa policy
  15. Contatti

1. Chi è il Titolare del Trattamento

Il Titolare del Trattamento è Informatica in Azienda di Emanuel Celano, l’organizzazione che gestisce la Certificazione DAPI (il “Servizio”).
Per qualsiasi richiesta relativa alla privacy, richiesta di protezione dei dati o per esercitare i vostri diritti: Contattateci utilizzando l’indirizzo email ufficiale pubblicato nella pagina dei contatti del sito web. Risponderemo alla vostra richiesta entro i tempi previsti dalle leggi sulla protezione dei dati applicabili.
Il nostro approccio alla protezione dei dati si basa su trasparenza, minimizzazione dei dati e rispetto dei vostri diritti fondamentali ai sensi del GDPR (Regolamento UE 2016/679) e di altre normative sulla privacy applicabili.

2. Quali Dati Trattiamo

A seconda della vostra richiesta di servizio e di come interagite con DAPI, potremmo trattare le seguenti categorie di dati personali:
  • Dati identificativi e di contatto: Nome, cognome, indirizzo email, paese di residenza, e qualsiasi informazione aggiuntiva che fornite volontariamente nel modulo di richiesta di certificazione, nelle comunicazioni email o nelle interazioni di supporto.
  • File di verifica da voi inviati (i “File di Certificazione”): Tipicamente fino a quattro file relativi all’identità inclusi: (1) documento d’identità valido rilasciato dal governo (passaporto, carta d’identità nazionale, patente di guida), (2) fotografia facciale frontale, (3) registrazione audio della voce, e (4) breve video di verifica. I file specifici richiesti possono variare in base al vostro pacchetto di certificazione.
  • Metadati tecnici generati durante la certificazione: Nomi dei file originali (come forniti da voi), dimensioni dei file, formati dei file, hash crittografici SHA-256, certificati di marca temporale qualificata, codice di certificazione DAPI, data di certificazione e log di processo interni che documentano la catena di custodia e le procedure di verifica dell’integrità.
  • Dati di utilizzo del sito web e dati tecnici: Quando visitate il nostro sito web, raccogliamo informazioni tecniche limitate inclusi indirizzo IP, stringa user agent, tipo di dispositivo, informazioni sul browser, URL di riferimento, pagine visitate e timestamp. Questi dati vengono raccolti tramite log del server e, se abilitati, cookie analitici per l’ottimizzazione della sicurezza e delle prestazioni del sito web.
  • Registrazioni delle comunicazioni: Email, messaggi e altre comunicazioni tra voi e il supporto DAPI relative alla vostra richiesta di certificazione, consegna o richieste di informazioni.
Importante: I vostri File di Certificazione contengono dati biometrici e di identità sensibili. DAPI tratta questi dati con il massimo livello di sicurezza e minimizza la conservazione secondo protocolli rigorosi dettagliati nella Sezione 6 (Minimizzazione e Conservazione dei Dati).

3. Cosa NON Facciamo

DAPI è costruito su principi di privacy-first. Per essere assolutamente chiari su cosa NON facciamo con i vostri dati:
  • NON creiamo un database biometrico pubblico. DAPI non è un registro biometrico, una piattaforma di verifica dell’identità o un database ricercabile. I vostri dati biometrici vengono utilizzati esclusivamente per la vostra certificazione privata e non vengono archiviati in alcuna forma che consenta la ricerca, l’abbinamento o il confronto con altri utenti.
  • NON pubblichiamo né rendiamo pubblica la vostra certificazione. Il vostro pacchetto di certificazione, certificato e tutti i materiali correlati sono privati. Nulla viene indicizzato dai motori di ricerca, reso pubblicamente accessibile o pubblicato online. Solo voi ricevete i deliverable della certificazione.
  • NON creiamo profili ricercabili o badge di verifica. Non esiste un “profilo DAPI” pubblico associato al vostro nome o identità. La certificazione esiste esclusivamente come pacchetto probatorio privato in vostro possesso.
  • NON vendiamo, affittiamo o scambiamo dati personali. I vostri dati non vengono mai venduti a terze parti, broker di dati, inserzionisti o società di marketing. Punto.
  • NON utilizziamo i vostri dati biometrici per scopi non correlati alla vostra certificazione. Le vostre foto facciali, registrazioni vocali e video di verifica vengono elaborati esclusivamente per generare la vostra certificazione richiesta—mai per sistemi di riconoscimento facciale, prodotti di analisi vocale, dataset di addestramento AI o qualsiasi altro scopo.

4. Finalità del Trattamento

Trattiamo i vostri dati personali solo per finalità legittime, specifiche e chiaramente definite. Ogni attività di trattamento è limitata a quanto necessario per raggiungere tale finalità.
  • Erogazione del servizio e esecuzione del contratto: Per eseguire il servizio di certificazione DAPI da voi richiesto, inclusi ricezione dei file, generazione degli hash, applicazione della marca temporale, creazione del certificato, controllo qualità e consegna sicura del pacchetto completo di certificazione.
  • Integrità e valore probatorio: Per generare hash crittografici (SHA-256), applicare marche temporali qualificate (conformi eIDAS), creare documentazione della catena di custodia e produrre prove forensi che supportano l’autenticità e la prova temporale dei vostri materiali certificati.
  • Sicurezza e prevenzione delle frodi: Per proteggere il Servizio da uso improprio, tentativi di impersonificazione, richieste di certificazione fraudolente, accessi non autorizzati e abuso dei nostri sistemi. Ciò include la verifica della legittimità e il monitoraggio della sicurezza.
  • Supporto clienti e comunicazione: Per rispondere alle vostre domande, fornire assistenza tecnica, fornire istruzioni sicure per l’invio dei file, assistere con l’utilizzo del certificato e risolvere eventuali problemi relativi alla vostra certificazione.
  • Conformità legale e obblighi normativi: Per soddisfare i requisiti previsti dalle leggi applicabili inclusi obblighi contabili, normative fiscali, norme antiriciclaggio (ove applicabili) e risposta a richieste legittime da parte di autorità competenti.
  • Miglioramento del servizio: Per analizzare modelli di utilizzo aggregati e anonimizzati (non dati individuali) per migliorare le prestazioni del sito web, le misure di sicurezza e l’efficienza del processo di certificazione.

5. Base Giuridica del Trattamento

Ai sensi del GDPR e delle leggi sulla protezione dei dati applicabili, trattiamo i dati personali sulla base di uno o più dei seguenti fondamenti giuridici:
  • Esecuzione di un contratto (GDPR Art. 6(1)(b)): Il trattamento è necessario per eseguire il servizio di certificazione DAPI da voi richiesto e di cui siete parte. Ciò copre l’erogazione del servizio, l’elaborazione dei file, la generazione del certificato e la consegna.
  • Obbligo legale (GDPR Art. 6(1)(c)): Il trattamento è richiesto per conformarsi agli obblighi legali inclusi requisiti contabili, normative fiscali e risposte a richieste legittime da parte di autorità competenti (tribunali, forze dell’ordine, organismi di regolamentazione).
  • Interessi legittimi (GDPR Art. 6(1)(f)): Il trattamento è necessario per i nostri legittimi interessi in: (a) mantenere la sicurezza del sito web e prevenire abusi, (b) prevenzione delle frodi e verifica della legittimità, (c) proteggere i nostri sistemi e la proprietà intellettuale, (d) amministrazione interna e operazioni aziendali. Bilancamo attentamente questi interessi con i vostri diritti e libertà.
  • Consenso (GDPR Art. 6(1)(a)): Solo quando il trattamento si basa esclusivamente sul vostro consenso volontario (ad esempio, comunicazioni di marketing opzionali se abilitate, o cookie analitici opzionali). Avete il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.
Dati di categoria particolare: I dati biometrici (foto facciali, registrazioni vocali, video di verifica) sono considerati “categoria particolare” ai sensi dell’Art. 9 del GDPR. Trattiamo questi dati sensibili sulla base del vostro consenso esplicito e perché il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria (GDPR Art. 9(2)(f))—che è lo scopo fondamentale della certificazione DAPI.

6. Minimizzazione e Conservazione dei Dati

DAPI è specificamente progettato per minimizzare la conservazione di contenuti biometrici sensibili mantenendo la verificabilità e il valore legale delle certificazioni emesse. Seguiamo rigorosi principi di minimizzazione dei dati.

File di Certificazione (Dati Biometrici)

I vostri file di identità (documento d’identità, foto facciale, registrazione vocale, video di verifica) vengono elaborati esclusivamente per produrre il vostro pacchetto di certificazione e NON vengono conservati più a lungo del necessario per la consegna e la verifica della qualità:
  • Cancellazione: I file vengono cancellati permanentemente entro 48 ore dalla consegna della certificazione.
  • Cancellazione dalle email: Le email contenenti i vostri file vengono cancellate dai server di posta entro 30 giorni dalla consegna della certificazione.

Metadati di Certificazione (Conservati)

I seguenti metadati tecnici vengono conservati permanentemente perché necessari per mantenere la verificabilità e il valore legale della vostra certificazione emessa:
  • Hash crittografici (SHA-256): Impronte digitali che non possono essere decodificate per ricostruire i file originali
  • Certificati di marca temporale qualificata: Timestamp RFC 3161 che provano la data di certificazione
  • Metadati di base: Il vostro nome, codice DAPI, data di certificazione, specifiche tecniche dei file
  • Log di processo: Documentazione della catena di custodia e registrazioni di verifica dell’integrità
  • Ricevute di consegna: Conferma che il pacchetto di certificazione è stato consegnato

Altri Periodi di Conservazione dei Dati

  • Comunicazioni di supporto: Conservate per scopi operativi fino a 2 anni, o più a lungo se richiesto per obblighi legali/contabili
  • Log del sito web e analytics: Tipicamente conservati per 6-12 mesi per analisi di sicurezza e prestazioni
  • Registrazioni contabili/fiscali: Conservate per i periodi richiesti dalla legge (tipicamente 10 anni in Italia)
Importante: I periodi di conservazione possono variare in base al vostro caso specifico, ai requisiti legali nella vostra giurisdizione e se procedimenti legali in corso richiedono la conservazione dei dati. Contattateci per informazioni specifiche sulla conservazione applicabili alla vostra certificazione.

7. Dove Vengono Archiviati e Trattati i Dati

I dati vengono trattati attraverso canali controllati e sicuri con accesso limitato:
  • Elaborazione della certificazione: Accessibile solo all’esperto forense responsabile della certificazione.
  • Comunicazioni email: Gestite tramite fornitori di posta elettronica certificata (PEC) e servizi email sicuri conformi agli standard italiani ed europei di protezione dei dati.
  • Hosting del sito web: Infrastruttura situata in data center UE con appropriate certificazioni di sicurezza e conformità GDPR.
  • Archiviazione dei metadati: Metadati di certificazione conservati (hash, timestamp, log di processo) archiviati su server sicuri in Italia/UE con backup crittografati.
L’accesso ai vostri dati è strettamente limitato al personale autorizzato direttamente coinvolto nell’elaborazione della certificazione, consegna e supporto. Implementiamo controlli di accesso basati sui ruoli, registrazione degli audit e principi di necessità di conoscenza.

8. Condivisione dei Dati e Destinatari

Non condividiamo i vostri File di Certificazione o dati personali con terze parti eccetto quando necessario per fornire il servizio o richiesto dalla legge. I possibili destinatari includono:
  • Fornitori di servizi di marca temporale: Autorità di marca temporale qualificate eIDAS che generano timestamp RFC 3161. Questi fornitori ricevono solo dati tecnici (hash), non i vostri file biometrici o informazioni personalmente identificabili.
  • Fornitori di email/comunicazione: Servizi di posta elettronica certificata (PEC) e piattaforme di comunicazione sicure utilizzate per inviare istruzioni e consegnare il vostro pacchetto di certificazione. Questi fornitori trattano i dati come responsabili del trattamento sotto rigorosi obblighi contrattuali.
  • Fornitori di infrastruttura e hosting: Hosting del server, servizi di backup e infrastruttura tecnica necessaria per l’archiviazione sicura e il funzionamento del sito web. Selezionati in base alla conformità GDPR e agli appropriati standard di sicurezza.
  • Autorità legali e di regolamentazione: Tribunali, forze dell’ordine, autorità fiscali o altre autorità competenti quando la divulgazione è richiesta da richiesta legale valida, ordine del tribunale o legge applicabile.
  • Consulenti professionali: Consulenti legali, commercialisti o revisori quando necessario per la conformità legale, risoluzione delle controversie o obblighi finanziari (sotto obblighi di segreto professionale).
Accordi di Trattamento dei Dati: Quando fornitori di servizi terzi trattano dati personali per nostro conto, stipuliamo Accordi di Trattamento dei Dati (DPA) che garantiscono appropriate misure di sicurezza, obblighi di riservatezza e conformità GDPR.

9. Trasferimenti Internazionali

DAPI dà priorità al trattamento dei dati all’interno dell’Unione Europea per beneficiare delle forti protezioni GDPR. Tuttavia, se i dati devono essere trasferiti al di fuori dell’UE/SEE (ad esempio, se vi trovate al di fuori dell’Europa o se determinati fornitori di servizi operano a livello internazionale), adottiamo le garanzie richieste dalla legge:
  • Clausole Contrattuali Standard (SCC): Termini contrattuali approvati dalla Commissione UE che garantiscono un’adeguata protezione dei dati nei paesi senza decisioni di adeguatezza dell’UE.
  • Decisioni di adeguatezza: Trasferimenti verso paesi riconosciuti dalla Commissione UE come fornitori di un’adeguata protezione dei dati (Regno Unito, Svizzera, Giappone, ecc.).
  • Garanzie aggiuntive: Crittografia in transito e a riposo, controlli di accesso, certificazioni di sicurezza e impegni contrattuali da parte dei destinatari.
Contattateci se avete bisogno di informazioni specifiche sui trasferimenti internazionali rilevanti per la vostra certificazione, inclusi dettagli sulle garanzie applicate e copie dei meccanismi di trasferimento pertinenti.

10. Misure di Sicurezza

Implementiamo misure di sicurezza tecniche e organizzative appropriate alla sensibilità dei dati, incluse le informazioni biometriche. Le misure di sicurezza includono (ove pertinente):
  • Controlli di accesso: Accesso basato sui ruoli, autenticazione forte, principi di minimo privilegio e registrazione degli audit di tutti gli accessi ai dati sensibili.
  • Crittografia: Crittografia TLS/SSL per i dati in transito (sito web, email) e crittografia a riposo per dati sensibili archiviati e backup.
  • Integrità crittografica: L’hashing SHA-256 garantisce l’integrità dei file e rileva eventuali modifiche non autorizzate.
  • Monitoraggio e registrazione: Monitoraggio della sicurezza, rilevamento delle intrusioni, tracce di audit e revisioni periodiche della sicurezza.
  • Risposta agli incidenti: Procedure documentate per il rilevamento, la risposta e la segnalazione di incidenti di sicurezza incluse le violazioni dei dati.
Notifica di incidenti di sicurezza: Nel caso improbabile di una violazione dei dati che interessi i vostri dati personali, vi informeremo e informeremo le autorità di vigilanza competenti entro i tempi richiesti dal GDPR (72 ore all’autorità, senza indebito ritardo agli interessati).

11. Cookie e Tracciamento

DAPI utilizza cookie e tecnologie simili per funzionalità essenziali del sito web, sicurezza e (opzionalmente) analytics. Il nostro approccio:
  • Cookie essenziali: Richiesti per il corretto funzionamento del sito web (gestione delle sessioni, sicurezza, bilanciamento del carico). Questi non possono essere disabilitati e non richiedono consenso in quanto sono strettamente necessari.
  • Cookie di sicurezza: Utilizzati per prevenire abusi, rilevare attività sospette e proteggere contro gli attacchi (ad es. limitazione della velocità, rilevamento bot).
  • Cookie analitici (se abilitati): Ci aiutano a capire come i visitatori utilizzano il sito web (visualizzazioni di pagina, modelli di navigazione, tassi di errore) per migliorare l’esperienza utente. I cookie analitici sono disabilitati per impostazione predefinita e richiedono il vostro consenso.
  • Cookie di marketing: DAPI non utilizza cookie di marketing, pubblicità o tracciamento da reti di terze parti.
Potete controllare le preferenze dei cookie attraverso le impostazioni del vostro browser. Si noti che il blocco dei cookie essenziali può influire sulla funzionalità del sito web. Informazioni dettagliate sui cookie sono disponibili nella nostra Cookie Policy.

12. I Vostri Diritti ai Sensi del GDPR e delle Leggi sulla Protezione dei Dati

A seconda della vostra giurisdizione (in particolare se vi trovate nell’UE/SEE o nel Regno Unito), avete i seguenti diritti riguardo ai vostri dati personali:

I Vostri Diritti sulla Protezione dei Dati

  • Diritto di accesso (Art. 15): Richiedere conferma se trattiamo i vostri dati personali e ottenere una copia di tali dati insieme alle informazioni sul trattamento.
  • Diritto di rettifica (Art. 16): Richiedere la correzione di dati personali inesatti o il completamento di dati incompleti.
  • Diritto alla cancellazione / “diritto all’oblio” (Art. 17): Richiedere la cancellazione dei vostri dati personali in determinate circostanze (vedere Sezione 13 per importanti limitazioni relative alle prove certificate).
  • Diritto di limitazione del trattamento (Art. 18): Richiedere che limitiamo il trattamento dei vostri dati in situazioni specifiche (accuratezza contestata, trattamento illecito, ecc.).
  • Diritto alla portabilità dei dati (Art. 20): Ricevere i vostri dati personali in formato strutturato, di uso comune e leggibile da dispositivo automatico e trasmetterli a un altro titolare (ove tecnicamente fattibile).
  • Diritto di opposizione (Art. 21): Opporsi al trattamento basato su interessi legittimi o per finalità di marketing diretto.
  • Diritto di revocare il consenso (Art. 7): Se il trattamento si basa sul consenso, potete revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.
  • Diritto di proporre reclamo (Art. 77): Presentare reclamo all’autorità di controllo (in Italia: Garante per la Protezione dei Dati Personali) se ritenete che i vostri diritti siano stati violati.

Come Esercitare i Vostri Diritti

Per esercitare uno qualsiasi di questi diritti, contattateci utilizzando l’indirizzo email ufficiale pubblicato sulla pagina dei contatti del sito web. Si prega di includere:
  • Nome e cognome completi e informazioni di contatto
  • Il vostro codice di certificazione DAPI (se applicabile)
  • Diritto specifico che desiderate esercitare e dettagli pertinenti
  • Prova d’identità (per prevenire accessi non autorizzati)
Risponderemo alla vostra richiesta entro un mese (estendibile di due mesi aggiuntivi per richieste complesse). Se non possiamo soddisfare la vostra richiesta, spiegheremo il motivo e vi informeremo del vostro diritto di proporre reclamo a un’autorità di controllo.

13. Richieste Relative alle Prove Certificate

Importante limitazione sui diritti di cancellazione e limitazione: Poiché DAPI crea prove forensi orientate legalmente, alcuni dati non possono essere cancellati o limitati senza compromettere l’integrità, la verificabilità o l’utilizzabilità legale delle certificazioni già emesse.
Nello specifico, i seguenti dati potrebbero dover essere conservati anche se richiedete la cancellazione:
  • Hash crittografici (SHA-256): Necessari per verificare che i certificati da noi emessi rimangano autentici e non siano stati manomessi. Senza gli hash conservati, il certificato perde la verificabilità.
  • Certificati di marca temporale: Prova temporale legale che non può essere cancellata senza invalidare il valore probatorio della marca temporale.
  • Documentazione della catena di custodia: Log di processo che stabiliscono come è stata eseguita la certificazione, necessari per procedimenti legali dove la metodologia può essere messa in discussione.
  • Metadati di certificazione: Informazioni di base (nome, codice DAPI, data) che vi collegano al certificato emesso, richieste se controversie legali riguardano l’autenticità del certificato.
Base giuridica per la conservazione: L’Art. 17(3)(e) del GDPR consente il rifiuto della cancellazione quando il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria—che è lo scopo fondamentale della certificazione DAPI. Se richiedete la cancellazione e dobbiamo rifiutare a causa di queste limitazioni:
  • Spiegheremo specificatamente quali dati non possono essere cancellati e perché
  • Confermeremo la cancellazione di tutti i dati che POSSONO essere cancellati (ad es. comunicazioni di supporto, dati di utilizzo del sito web)
  • Forniremo alternative disponibili (limitazione, anonimizzazione ove possibile)
  • Vi informeremo del vostro diritto di proporre reclamo all’autorità di controllo se non siete d’accordo

14. Modifiche a Questa Privacy Policy

Potremmo aggiornare questa Privacy Policy periodicamente per riflettere:
  • Modifiche o miglioramenti al servizio DAPI
  • Aggiornamenti alle leggi o regolamenti sulla protezione dei dati applicabili
  • Nuove misure di sicurezza o attività di trattamento
  • Feedback da autorità di controllo o valutazioni sulla protezione dei dati
L’ultima versione di questa Privacy Policy sarà sempre pubblicata su questa pagina con la data di “Ultimo aggiornamento” in alto. Le modifiche sostanziali che incidono significativamente sui vostri diritti vi saranno comunicate via email (se abbiamo le vostre informazioni di contatto) o tramite avviso prominente sul sito web. Le modifiche diventano effettive dalla data di pubblicazione. Vi incoraggiamo a rivedere questa Privacy Policy periodicamente per rimanere informati su come proteggiamo i vostri dati.

15. Contatti e Responsabile della Protezione dei Dati

Per domande sulla privacy, richieste di protezione dei dati o per esercitare i vostri diritti ai sensi del GDPR e delle leggi sulla protezione dei dati applicabili, contattateci utilizzando i dettagli di contatto ufficiali pubblicati sul sito web.

📧 Richieste Privacy e Protezione dei Dati

Prendiamo seriamente i vostri diritti sulla privacy e miriamo a rispondere a tutte le richieste entro i tempi legali. Per la risposta più rapida, includete il vostro codice di certificazione DAPI (se applicabile) e indicate chiaramente quale diritto desiderate esercitare. Contattateci per la Privacy

Autorità di Controllo (Italia): Se ritenete che i vostri diritti sulla protezione dei dati siano stati violati, avete il diritto di proporre reclamo all’Autorità italiana per la protezione dei dati:

Garante per la Protezione dei Dati Personali Piazza Venezia 11, 00187 Roma, Italia Sito web: www.garanteprivacy.it Email: garante@gpdp.it

Domande su Privacy o Protezione dei Dati?

Siamo impegnati nella trasparenza e nel rispetto dei vostri diritti fondamentali. Se avete domande su questa Privacy Policy, su come gestiamo i vostri dati o desiderate esercitare i vostri diritti GDPR, non esitate a contattarci.

DAPI: Digital Authentication for Personal Identity

DAPI: Digital Authentication for Personal Identity