Privacy Policy

Ultimo aggiornamento: 22 maggio 2026

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che interagiscono con il sito sybylla.io (di seguito, il "Sito") ed è resa, ai sensi dell'art. 13 del Regolamento UE 2016/679 ("GDPR"), a tutti coloro che inviano richieste tramite i moduli di contatto, l'assessment gratuito o il programma partner.

1. Titolare del trattamento

Il Titolare del trattamento è Uranda Software Shpk, società di diritto albanese, di seguito anche "Sybylla" o il "Titolare".

Contatto privacy: privacy@sybylla.io

2. Quadro normativo applicabile

Il Sito è rivolto in via principale al mercato italiano e all'Unione Europea: offre servizi e raccoglie dati di interessati che si trovano nell'UE. Sebbene il Titolare sia stabilito al di fuori dell'Unione Europea, ai sensi dell'art. 3, par. 2, lett. a) del GDPR il Regolamento si applica integralmente al trattamento dei dati personali effettuato attraverso il Sito.

Trovano altresì applicazione:

• il D.Lgs. 30 giugno 2003, n. 196 ("Codice Privacy"), come modificato e integrato dal D.Lgs. 101/2018, con particolare riguardo all'art. 122 in materia di tecnologie di tracciamento;
• i provvedimenti del Garante per la Protezione dei Dati Personali, in particolare le Linee Guida del 10 giugno 2021 n. 231;
• la normativa interna albanese applicabile al Titolare, segnatamente la Ligji nr. 124/2024 "Për mbrojtjen e të dhënave personale", in via cumulativa con il GDPR.

L'Autorità di controllo competente per gli interessati italiani è il Garante per la Protezione dei Dati Personali; per gli interessati albanesi è il Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale (IDP).

3. Rappresentante nell'Unione (art. 27 GDPR)

In conformità all'art. 27 GDPR, il Titolare sta perfezionando la designazione di un rappresentante nell'Unione Europea, che agirà in qualità di punto di contatto per gli interessati e per l'Autorità di controllo in relazione ai trattamenti soggetti al GDPR.

Denominazione: da definire
Indirizzo nell'Unione Europea: da definire
Email di contatto: da definire

4. Categorie di dati personali trattati

Il Titolare tratta esclusivamente i dati personali forniti volontariamente dall'interessato attraverso i moduli del Sito, unitamente ai dati tecnici minimi raccolti automaticamente dal server per ragioni di sicurezza e funzionamento.

4.1 Dati raccolti tramite il modulo "Assessment NIS2 gratuito"

• Nome e cognome (obbligatori)
• Indirizzo email aziendale (obbligatorio)
• Denominazione dell'azienda (obbligatoria)
• Numero di telefono (facoltativo)
• Settore di attività (facoltativo)
• Dominio internet o indirizzo IP pubblico dell'organizzazione da sottoporre ad analisi (obbligatorio)
• Accettazione della presente informativa (obbligatoria)

4.2 Dati raccolti tramite il modulo "Programma Partner"

• Nome e cognome (obbligatori)
• Denominazione dell'azienda (obbligatoria)
• Indirizzo email aziendale (obbligatorio)
• Numero di telefono (facoltativo)
• Tipologia di organizzazione (MSSP, consulenza, system integrator, reseller, altro — facoltativo)
• Numero di clienti gestiti (facoltativo)
• Accettazione della presente informativa (obbligatoria)

4.3 Dati tecnici di navigazione

• Indirizzo IP del dispositivo, registrato dal server al momento dell'invio del modulo, ai soli fini di sicurezza informatica e di tutela in caso di abuso o frode (log applicativo).
• Dati tecnici inviati al servizio Google Fonts (IP, User-Agent, Referer): si rinvia alla Cookie Policy per il dettaglio.

Il Titolare non raccoglie categorie particolari di dati (art. 9 GDPR) né dati relativi a condanne penali e reati (art. 10 GDPR). Si invita pertanto l'interessato a non includere tali informazioni nei testi liberi eventualmente inseriti nei moduli.

5. Finalità e basi giuridiche del trattamento

I dati raccolti sono trattati per le seguenti finalità e sulla base delle seguenti basi giuridiche:

• (a) Erogazione del servizio richiesto — risposta alla richiesta di assessment NIS2 gratuito o di adesione al programma partner.
  Base giuridica: art. 6, par. 1, lett. b) GDPR — esecuzione di misure precontrattuali adottate su richiesta dell'interessato.
• (b) Adempimento di obblighi di legge — fiscali, contabili, contrattuali, di sicurezza informatica e di risposta a richieste delle autorità competenti.
  Base giuridica: art. 6, par. 1, lett. c) GDPR — obbligo legale.
• (c) Sicurezza del Sito e prevenzione di abusi — log delle richieste, riconoscimento di tentativi di spam (incluso meccanismo di honeypot), tutela in caso di azioni illecite.
  Base giuridica: art. 6, par. 1, lett. f) GDPR — legittimo interesse del Titolare a tutelare il proprio sistema informativo.
• (d) Eventuali comunicazioni commerciali di follow-up — invio occasionale di aggiornamenti relativi all'evoluzione del prodotto Sybylla e alla normativa NIS2 di riferimento, in coerenza con l'interesse espresso dall'interessato al momento della richiesta.
  Base giuridica: art. 6, par. 1, lett. a) GDPR — consenso esplicito dell'interessato, prestato mediante apposita casella in fase di compilazione del modulo. Il consenso è facoltativo e revocabile in qualsiasi momento.

6. Natura del conferimento dei dati

Il conferimento dei dati contrassegnati come obbligatori (cfr. § 4.1 e § 4.2) è necessario per la corretta erogazione del servizio richiesto. Il mancato conferimento comporta l'impossibilità di rispondere alla richiesta. Il conferimento dei dati facoltativi è rimesso alla libera scelta dell'interessato e non incide sull'erogazione del servizio.

7. Modalità del trattamento

I dati sono trattati con strumenti elettronici, secondo logiche di organizzazione ed elaborazione strettamente correlate alle finalità indicate. Sono adottate misure tecniche e organizzative adeguate (art. 32 GDPR) per garantire la riservatezza, l'integrità e la disponibilità dei dati personali, tra cui:

• connessioni cifrate in transito (TLS/HTTPS);
• autenticazione SMTP cifrata (STARTTLS) per l'invio delle notifiche email;
• accesso ai dati limitato al personale autorizzato e formato;
• politiche di backup e log applicativi.

Il Titolare non effettua processi decisionali automatizzati ai sensi dell'art. 22 GDPR, ivi inclusa la profilazione.

8. Categorie di destinatari e responsabili esterni

Nei limiti delle finalità descritte, i dati personali possono essere accessibili o comunicati alle seguenti categorie di destinatari, vincolati da formali atti di nomina ex art. 28 GDPR ove applicabile:

• Personale autorizzato del Titolare — collaboratori interni espressamente autorizzati a trattare i dati per le finalità descritte, formati in materia di protezione dei dati e vincolati a obblighi di riservatezza.
• Fornitore di servizi di hosting — soggetto che mette a disposizione l'infrastruttura server presso un datacenter situato in Repubblica Federale di Germania (territorio dell'Unione Europea), in qualità di Responsabile del trattamento. La denominazione del fornitore è disponibile su richiesta dell'interessato all'indirizzo privacy@sybylla.io.
• Consulenti professionali esterni — legali, fiscali, contabili eventualmente coinvolti, nominati Responsabili del trattamento ex art. 28 GDPR o autonomi Titolari nei limiti delle proprie funzioni.
• Autorità competenti — esclusivamente per obblighi di legge o per dare seguito a richieste legittime di organi giudiziari o di vigilanza.

I dati personali non sono ceduti a terzi a fini commerciali e non sono oggetto di diffusione.

9. Trasferimento dei dati all'estero

I server che ospitano il Sito e gestiscono la posta elettronica sono ubicati in Repubblica Federale di Germania, all'interno dello Spazio Economico Europeo. Non vi è quindi alcun trasferimento dei dati al di fuori dell'Unione Europea ai fini della loro archiviazione. I dati possono essere oggetto dei seguenti trasferimenti extra-UE solo nelle ipotesi di seguito indicate:

• 9.1 Accesso del personale del Titolare dal territorio albanese. Il personale autorizzato del Titolare può accedere ai dati personali raccolti tramite il Sito anche dal territorio della Repubblica di Albania, paese terzo per il quale, alla data di pubblicazione della presente informativa, non è intervenuta una decisione di adeguatezza della Commissione Europea ai sensi dell'art. 45 GDPR. Il trasferimento è effettuato in conformità all'art. 46 GDPR, sulla base di adeguate garanzie organizzative interne al Titolare, e in considerazione del fatto che la normativa interna albanese (Ligji nr. 124/2024 "Për mbrojtjen e të dhënave personale") è ispirata ai principi e alle tutele del GDPR e riconosce all'interessato l'esercizio di diritti sostanzialmente equivalenti.
• 9.2 Servizio Google Fonts. Il caricamento dei font tipografici può comportare il trasferimento di dati tecnici (IP, User-Agent, Referer) verso server di Google LLC negli Stati Uniti, sulla base della decisione di adeguatezza della Commissione Europea del 10 luglio 2023 — EU-US Data Privacy Framework. Si rinvia alla Cookie Policy per il dettaglio.

L'interessato può richiedere copia delle garanzie adottate per i trasferimenti scrivendo all'indirizzo privacy@sybylla.io.

10. Periodo di conservazione

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità indicate, in conformità al principio di minimizzazione (art. 5, par. 1, lett. e) GDPR):

• Richieste di assessment gratuito e richieste partner: fino a 24 mesi dall'ultimo contatto, dopodiché i dati sono cancellati o anonimizzati, salvo diversa richiesta dell'interessato o necessità di conservazione per esigenze difensive.
• Consenso a comunicazioni commerciali: fino a revoca del consenso e, in ogni caso, riesaminato ogni 24 mesi.
• Log tecnici di sicurezza: tipicamente 6 mesi, salvo necessità di conservazione più lunga per la difesa in giudizio del Titolare o per richieste delle autorità competenti.
• Dati conservati per obblighi di legge (es. fiscali e contabili): per il tempo previsto dalle norme applicabili, di regola 10 anni.

11. Diritti dell'interessato

In relazione ai trattamenti descritti, l'interessato può esercitare in qualsiasi momento i seguenti diritti, riconosciuti dagli articoli 15-22 del GDPR:

• diritto di accesso (art. 15) — ottenere conferma del trattamento e copia dei dati;
• diritto di rettifica (art. 16) — ottenere l'aggiornamento o la correzione di dati inesatti o incompleti;
• diritto alla cancellazione (art. 17, "diritto all'oblio") — ottenere la cancellazione dei dati nei casi previsti;
• diritto di limitazione del trattamento (art. 18);
• diritto alla portabilità dei dati (art. 20) — ricevere in formato strutturato i dati forniti e trasmetterli ad altro titolare;
• diritto di opposizione al trattamento (art. 21), ivi compreso quello per finalità di marketing diretto;
• diritto a non essere sottoposto a decisioni automatizzate (art. 22) — nel caso specifico, il Titolare non effettua processi automatizzati;
• diritto di revocare il consenso in qualsiasi momento (art. 7, par. 3), senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.

12. Modalità di esercizio dei diritti

L'interessato può esercitare i propri diritti inviando una richiesta scritta all'indirizzo privacy@sybylla.io, allegando copia di un documento di identità in corso di validità per consentirne l'identificazione. Il Titolare risponderà senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta, eventualmente prorogabile di ulteriori due mesi in caso di particolare complessità della richiesta o numero elevato di richieste, dandone tempestiva comunicazione all'interessato (art. 12, par. 3 GDPR). Il riscontro è fornito gratuitamente, salvo i casi di richieste manifestamente infondate o eccessive (art. 12, par. 5 GDPR).

13. Reclamo all'Autorità di controllo

Ferma restando la possibilità di adire l'autorità giudiziaria, l'interessato che ritenga che il trattamento dei propri dati personali violi la normativa applicabile ha diritto di proporre reclamo all'Autorità di controllo competente. Per gli interessati italiani il riferimento è il Garante per la Protezione dei Dati Personali, raggiungibile all'indirizzo Piazza Venezia 11, 00187 Roma — Italia. Per gli interessati albanesi, il Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale (IDP).

14. Modifiche alla presente informativa

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, anche per adeguarla a sopravvenute disposizioni di legge. Le modifiche entrano in vigore dal momento della pubblicazione su questa pagina e si invita l'interessato a consultarla periodicamente. La data dell'ultimo aggiornamento è indicata in cima al documento. Eventuali modifiche sostanziali saranno segnalate con adeguato preavviso e, ove necessario, sarà richiesto un nuovo consenso.

15. Contatti

Per qualsiasi richiesta relativa alla presente informativa o all'esercizio dei diritti previsti dal GDPR, è possibile contattare il Titolare all'indirizzo privacy@sybylla.io. Per informazioni sull'uso di cookie e tecnologie analoghe si rinvia alla Cookie Policy.