Data Controller

Nexim Italia S.r.l. (in seguito “Nexim”, “noi”) — operante con il marchio Nexim Global.
Sede legale: Via Caldera 21, 20153 Milano — Italia
P.IVA / C.F.: IT 00000000000 · REA: MI-0000000
Capitale sociale: € 100.000,00 i.v.
Email: privacy@nexim.it · Tel: +39 02 8622 44

Data Protection Officer (DPO)

Data Protection Officer — Nexim Global — dpo@nexim.it
Indirizzo postale: Via Caldera 21, 20153 Milano — Italia. Il DPO è il punto di contatto unico per ogni questione relativa al trattamento dei tuoi dati personali.

Types of data collected

Trattiamo le seguenti categorie di dati personali:

• Dati di contatto: nome, cognome, ragione sociale, ruolo aziendale, email, numero di telefono, indirizzo postale.
• Dati di navigazione: indirizzo IP (in forma hashata), user agent, URL referrer, pagine visitate, timestamp, identificatori di sessione e cookie tecnici / di profilazione (vedi Informativa cookie).
• Dati contrattuali: ordini, contratti, fatture, dati di pagamento (gestiti tramite provider PSD2-compliant; non conserviamo numeri di carta in chiaro).
• Dati tecnici di servizio: log di rete, configurazioni, eventi NOC. I dati di traffico telematico sono trattati secondo l’art. 132 D.Lgs. 196/2003 e le delibere AGCOM applicabili.
• Comunicazioni: contenuti email, chat di supporto, registrazioni delle chiamate al NOC (solo previa informativa e per finalità di sicurezza e formazione).
• Dati biometrici / particolari: non trattiamo categorie particolari di dati ai sensi dell’art. 9 GDPR salvo specifico consenso esplicito documentato.

Purposes of processing

1. Esecuzione dei contratti di fornitura connettività, eventi, servizi gestiti, NOC.
2. Adempimento di obblighi di legge fiscali, contabili, antiriciclaggio, di sicurezza informatica (NIS2) e di conservazione dati di traffico telematico.
3. Sicurezza dell’infrastruttura: prevenzione frodi, abusi, DDoS, accessi non autorizzati, indagini su incidenti.
4. Marketing diretto su prodotti e servizi analoghi a quelli già acquistati (soft opt-in art. 130 c. 4 Codice Privacy) e marketing su prodotti nuovi previo consenso esplicito.
5. Analisi statistiche aggregate e profilazione previo consenso.
6. Difesa di un diritto in sede giudiziaria.

Legal bases

• Art. 6.1.b GDPR — esecuzione di un contratto di cui sei parte.
• Art. 6.1.c GDPR — adempimento di obblighi di legge.
• Art. 6.1.f GDPR — legittimo interesse di Nexim alla sicurezza dei servizi e alla difesa giudiziaria.
• Art. 6.1.a GDPR — consenso esplicito per marketing e profilazione, sempre revocabile.

Retention period

Recipients of data

I tuoi dati possono essere condivisi con le seguenti categorie di destinatari, nominati Responsabili del trattamento ai sensi dell’art. 28 GDPR:

• Provider di hosting e cloud (AWS Italia/Irlanda, Cloudflare, Aruba S.p.A.)
• Provider di posta elettronica e SMTP transazionale (Google Workspace, Postmark)
• Piattaforme CRM e marketing automation (HubSpot, Mailchimp — solo previo consenso)
• Provider di pagamento (Stripe, banche corrispondenti)
• Studi legali e commerciali, revisori contabili
• Autorità competenti su richiesta legittima (Polizia Postale, AGCOM, Garante)
• Partner di rete e fornitori upstream per la sola erogazione tecnica del servizio

Cross-border transfers

Quando trasferiamo dati al di fuori dello Spazio Economico Europeo (es. servizi cloud USA o operazioni nella nostra sede di New York), garantiamo adeguate misure di tutela ai sensi del Capo V del GDPR:

• Decisioni di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework, dove applicabile).
• Clausole Contrattuali Standard (SCC) approvate dalla Commissione (Decisione 2021/914).
• Misure supplementari tecniche: cifratura at-rest e in-transit, pseudonimizzazione, controlli di accesso.

Per ottenere copia delle garanzie applicate, scrivi al DPO.

Your rights

Hai diritto di esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, decisioni automatizzate) e di revocare il consenso. Vedi la pagina dedicata: Protection des données personnelles.

Security measures

Adottiamo misure tecniche e organizzative adeguate, allineate agli standard ISO/IEC 27001, NIS2, ENISA e CIS Controls v8:

• Cifratura at-rest (AES-256) e in-transit (TLS 1.2+ con perfect forward secrecy).
• Autenticazione multi-fattore obbligatoria per accessi privilegiati.
• Segregation of duties, least privilege, log immutabili.
• Penetration test annuali e bug bounty program.
• Procedure documentate di Incident Response e Data Breach Notification (entro 72 ore al Garante e agli interessati, dove richiesto, ex art. 33-34 GDPR).
• Formazione obbligatoria del personale e accordi NDA con tutti i collaboratori e fornitori.

Minors

I nostri servizi sono rivolti a operatori professionali e non sono destinati a minori di 16 anni. Non raccogliamo intenzionalmente dati personali di minori. Se vieni a conoscenza che un minore ci ha fornito dati personali senza il consenso del genitore o tutore, contatta il DPO per la cancellazione.

Cookies and similar technologies

L’uso di cookie e tecnologie analoghe è regolato in dettaglio nella nostra Politique relative aux cookies. Puoi gestire le tue preferenze in qualsiasi momento dalla pagina Préférences cookies.

Changes to this notice

Ci riserviamo di modificare la presente informativa. La data di ultimo aggiornamento è indicata in alto. Eventuali modifiche sostanziali saranno comunicate via email o tramite avviso sui nostri siti almeno 30 giorni prima dell’efficacia.

Right to lodge a complaint

Senza pregiudizio per ogni altro rimedio amministrativo o giurisdizionale, hai diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma — garanteprivacy.it) o all’autorità di controllo dello Stato membro in cui risiedi abitualmente, lavori o in cui si è verificata la presunta violazione.