Come trattiamo
i tuoi dati.
Versione 1.1 — ultimo aggiornamento: 24 aprile 2026. Ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 (GDPR).
Nota di stato: questa informativa è la versione di lavoro pubblicata in fase pre-lancio del servizio "Addio Canone RAI". Prima del go-live operativo saranno inseriti: denominazione finale dell'associazione, sede legale registrata, codice fiscale, PEC ufficiale. Gli indirizzi di contatto privacy (`privacy@cooperativaenergetica.it`) sono già operativi.
1. Titolare del trattamento
Associazione "Cooperativa Energetica Italiana — Iniziativa Civica"
Sede legale: in fase di registrazione
Codice Fiscale: in richiesta
PEC: in attivazione
Email di contatto privacy: privacy@cooperativaenergetica.it
2. Responsabile della Protezione dei Dati (DPO)
Non obbligatorio per la dimensione e natura del trattamento. È designato un referente interno privacy raggiungibile all'indirizzo sopra.
3. Tipologie di dati trattati
Nell'erogazione del servizio "Addio Canone RAI" trattiamo:
| Categoria | Esempi |
|---|---|
| Dati anagrafici | Nome, cognome, data e luogo di nascita |
| Dati identificativi | Codice Fiscale |
| Dati di contatto | Email, indirizzo di residenza/fornitura, telefono (facoltativo) |
| Dati tecnici utenza | Codice POD del contatore elettrico (facoltativo) |
| Copia del documento d'identità | Immagine fronte/retro di carta d'identità, passaporto o patente. Richiesto ex art. 38 comma 3 DPR 445/2000 per validare la dichiarazione sostitutiva. Cancellato entro 7 giorni dalla ricezione della ricevuta AE. |
| Firma elettronica semplice | Immagine della firma tracciata a schermo con dito/mouse + timestamp + indirizzo IP + tipo dispositivo (user-agent), ai fini di tracciabilità ex DPR 445/2000. |
| Dati di pagamento | Solo ID transazione Stripe — i dati carta sono gestiti da Stripe (PCI-DSS), non transitano né vengono salvati sui nostri server. |
| Metadati PEC | ID messaggio, ricevute di accettazione e consegna, numero di protocollo AE. |
| PDF archiviato | Copia della dichiarazione sostitutiva firmata (con allegata copia del documento) e ricevute AE, conservati per 10 anni. |
Non trattiamo dati particolari (art. 9 GDPR) né dati giudiziari. La copia del documento d'identità, pur essendo dato personale comune, è trattata con misure di sicurezza rafforzate: bucket privato con accesso limitato al solo service-role del backend, cifratura at-rest, cancellazione automatica post-consegna.
4. Finalità e base giuridica
| Finalità | Base giuridica | Conferimento |
|---|---|---|
| Erogazione del servizio di assistenza DSR canone RAI | Art. 6.1.b GDPR — rapporto contrattuale | Obbligatorio |
| Invio PEC ad Agenzia Entrate per conto dell'utente | Art. 6.1.b — esecuzione contrattuale | Obbligatorio |
| Conservazione ricevuta PEC come prova | Art. 6.1.c — obbligo legale | Obbligatorio |
| Promemoria annuali di rinnovo | Art. 6.1.b + 6.1.a — consenso | Facoltativo (revocabile) |
| Comunicazioni informative sull'Associazione | Art. 6.1.a — consenso | Facoltativo |
| Adempimenti contabili (donazioni) | Art. 6.1.c — obbligo legale | Se doni |
| Difesa in giudizio | Art. 6.1.f — legittimo interesse | — |
5. Modalità del trattamento
- Strumenti informatici, server UE (Supabase Francoforte, Railway Europa).
- Accessi protetti con autenticazione per gli operatori.
- Cifratura at-rest (AES-256) e in-transit (TLS 1.3).
- Logging degli accessi e delle operazioni.
- Minimizzazione attiva sul documento d'identità: salvato temporaneamente in bucket privato con accesso limitato al solo service-role del backend; cancellato automaticamente entro 7 giorni dalla ricezione della ricevuta AE. L'unico artefatto residuo è il PDF della dichiarazione firmata (che la contiene come pagina allegato, come richiesto dalla normativa).
- Nessun operatore umano visiona il documento d'identità salvo in caso di contestazione dell'AE o richiesta dell'interessato.
6. Destinatari dei dati
I dati possono essere comunicati a:
- Agenzia delle Entrate — destinatario istituzionale del servizio (tramite PEC).
- Fornitori tecnici come Responsabili del trattamento (art. 28 GDPR):
- Supabase Inc. / Supabase EU (hosting DB e storage oggetti, server UE Francoforte)
- Railway Corp. (hosting backend, server Europa)
- Cloudflare Inc. (CDN frontend + DNS, server edge UE)
- Register.it S.p.A. / Namirial Group (PEC certificata AgID per trasmissione DSR all'Agenzia Entrate)
- Stripe Payments Europe Ltd. (pagamento quota associativa €5, Dublino Irlanda)
- Resend Inc. (invio email transazionali non-PEC)
- Professionisti incaricati (commercialista, consulente legale) nei limiti dei rispettivi incarichi.
I dati non sono diffusi, non sono ceduti a terzi per marketing, non sono oggetto di profilazione automatizzata.
7. Trasferimenti extra-UE
Non sono previsti trasferimenti sistematici extra-UE. I fornitori indicati mantengono i dati in UE o applicano Standard Contractual Clauses approvate dalla Commissione Europea.
8. Periodo di conservazione
| Dato | Durata |
|---|---|
| Dati anagrafici utente attivo | Rapporto + 10 anni dall'ultima DSR inviata |
| Copia documento d'identità (file caricato) | Massimo 7 giorni dalla ricezione della ricevuta AE. Viene cancellato automaticamente dal bucket di storage non appena la ricevuta è ricevuta e archiviata. |
| PDF dichiarazione firmata | 10 anni (contiene la copia documento come pagina allegato — retention dovuta per prova fiscale) |
| Firma elettronica (immagine e metadati) | 10 anni — integrata nel PDF della dichiarazione |
| Ricevute PEC e protocollo AE | 10 anni (obbligo documentale) |
| Utenti che hanno revocato | 30 giorni dalla revoca, salvo difesa in giudizio |
| Dati di pagamento Stripe | 10 anni (termini fiscali, obbligo contabile) |
| Log tecnici | 12 mesi |
Alla scadenza i dati sono cancellati o resi anonimi. La retention anomalmente breve del file originale del documento d'identità attua il principio di data minimization (art. 5.1.c GDPR): l'unica copia a lungo termine è quella dentro il PDF della dichiarazione, necessaria per la prova legale verso l'Agenzia Entrate.
9. Diritti dell'interessato
Puoi esercitare in qualsiasi momento i diritti previsti dagli articoli 15-22 GDPR:
- Accesso (art. 15): conferma e copia dei dati
- Rettifica (art. 16): correzione dati inesatti
- Cancellazione (art. 17): "diritto all'oblio", nei limiti di legge
- Limitazione (art. 18)
- Portabilità (art. 20): dati in formato strutturato e leggibile da macchina
- Opposizione (art. 21) al trattamento basato su legittimo interesse
- Revoca del consenso (art. 7): in qualsiasi momento
- Reclamo al Garante Privacy
Per esercitare i diritti: scrivere a privacy@cooperativaenergetica.it. Risposta entro 30 giorni (prorogabili a 60 per richieste complesse).
10. Processo decisionale automatizzato
Il servizio è automatizzato nella compilazione del documento, ma non comporta decisioni basate unicamente su trattamento automatizzato ex art. 22 GDPR: la sottoscrizione e la volontà di invio restano in capo all'utente.
11. Sicurezza
- Cifratura in transito (HTTPS/TLS 1.3) e at-rest (AES-256).
- Autenticazione multi-fattore per operatori.
- Segregazione degli ambienti di sviluppo, test e produzione.
- Backup giornalieri crittografati.
- Procedura di data breach notification (72h al Garante, comunicazione all'interessato se rischio elevato).
12. Modifiche
Questa informativa può essere aggiornata. Le modifiche sostanziali saranno comunicate via email
con almeno 30 giorni di anticipo. La versione vigente è sempre disponibile su
cooperativaenergetica.it/privacy.