Legal · Informativa estesa

Informativa Privacy — art. 13 GDPR

Ultimo aggiornamento: 21 aprile 2026 — Versione 1.0

Informativa resa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) ai clienti attuali e potenziali dei servizi di audit di sicurezza informatica OMNEX.

🔔 Questa pagina contiene l'informativa estesa destinata ai clienti B2B (PMI che affidano dati tecnici e commerciali a OMNEX durante un audit). Per la privacy dei visitatori del sito vedi la Privacy Policy generale.

1. Titolare del trattamento

OMNEX Cybersecurity di Aurelio Capriello
C.F. CPRRLA96M07E791L
Email: omnexsecurity@gmail.com
Telefono: +39 371 491 4166

2. Responsabile della protezione dati (DPO)

Non è stato nominato un DPO in quanto il trattamento non rientra nei casi obbligatori ex art. 37 GDPR (non siamo pubblica amministrazione né effettuiamo trattamenti su larga scala di categorie particolari). Per qualsiasi questione privacy puoi contattare il Titolare agli indirizzi sopra.

3. Tipologie di dati trattati

3.1 Dati di contatto professionale

Nome, cognome, email, telefono, ruolo aziendale del referente;
Dati di fatturazione (ragione sociale, P.IVA, indirizzo, C.F.).

3.2 Dati tecnici raccolti durante l'audit

Indirizzi IP, User-Agent, header HTTP, cookie di sessione dei sistemi in perimetro;
Log di applicazioni, configurazioni server, codice sorgente condiviso dal Cliente;
Credenziali di test fornite dal Cliente (mai credenziali di produzione reali);
Screenshot, HAR capture, PoC con eventuali identificativi di utenti del Cliente (minimizzati).

3.3 Dati di utilizzo software (in caso di licenza white-label)

Log di accesso alla dashboard OMNEX;
Email di registrazione, IP di login, metadata di utilizzo;
Artefatti di scan prodotti dal software.

4. Finalità e basi giuridiche

Finalità	Base giuridica (art. 6 GDPR)
Esecuzione del contratto di audit	art. 6.1.b — contratto
Fatturazione e obblighi fiscali	art. 6.1.c — obbligo legale
Comunicazioni commerciali dirette su servizi analoghi	art. 6.1.f — legittimo interesse (opposizione ex art. 21 sempre possibile)
Newsletter marketing	art. 6.1.a — consenso revocabile
Difesa in giudizio in caso di controversie	art. 6.1.f — legittimo interesse

Non trattiamo dati per finalità ulteriori non dichiarate.

5. Natura del conferimento

Il conferimento dei dati di contatto professionale (punto 3.1) è necessario per instaurare il rapporto contrattuale: il mancato conferimento impedisce la prestazione del servizio.

Il consenso alla newsletter è facoltativo: il rifiuto non pregiudica l'esecuzione del contratto.

6. Modalità del trattamento

Strumenti elettronici con cifratura at-rest (dischi cifrati) e in-transit (TLS ≥ 1.2);
Accesso limitato al solo personale autorizzato (need-to-know);
Log di accesso conservati 180 giorni;
Backup cifrati off-site;
Isolamento degli ambienti di test dai dati di produzione;
Nessuna profilazione automatizzata con effetti legali ex art. 22 GDPR.

7. Tempi di conservazione

Categoria dato	Periodo
Dati contrattuali e fatturazione	10 anni (obbligo civilistico/fiscale)
Report di audit + PoC bundle	3 anni dalla consegna, salvo diversa richiesta del Cliente
Log tecnici di scan (raw)	Max 30 giorni dopo la consegna del report
Email marketing (con consenso)	Fino a revoca del consenso
Log di accesso dashboard	180 giorni
CV / candidature ricevute	12 mesi dalla ricezione

Al termine del periodo i dati sono cancellati o anonimizzati irreversibilmente.

8. Destinatari dei dati

I dati possono essere comunicati a:

Responsabili esterni (elenco aggiornato nel DPA);
Autorità competenti su richiesta motivata (Garante, Autorità giudiziaria);
Professionisti (avvocati, commercialisti) vincolati da segreto professionale.

Non vendiamo dati a terzi. Nessuna cessione a data broker o a terzi per finalità di marketing.

9. Trasferimento extra-UE

Alcuni sub-responsabili (es. provider LLM Anthropic/OpenAI quando il Cliente attiva Agent AI) possono trattare dati negli USA. In tali casi:

Stipulate Standard Contractual Clauses (SCC) ex art. 46 GDPR;
Eseguito Transfer Impact Assessment (TIA) disponibile su richiesta;
Nessun trasferimento verso paesi senza idonee garanzie.

10. Diritti dell'interessato

In ogni momento puoi esercitare i diritti di:

Accesso ai tuoi dati e info sul trattamento (art. 15);
Rettifica di dati inesatti (art. 16);
Cancellazione («diritto all'oblio», art. 17);
Limitazione del trattamento (art. 18);
Portabilità (art. 20);
Opposizione (art. 21), sempre per marketing;
Revoca del consenso in qualsiasi momento senza pregiudizio della liceità del trattamento precedente;
Non essere sottoposto a decisioni automatizzate (art. 22);
Proporre reclamo al Garante Privacy o al giudice ordinario.

Come esercitarli: email a omnexsecurity@gmail.com con oggetto «GDPR — esercizio diritti». Rispondiamo entro 30 giorni (prorogabili a 90 per complessità). Esercizio gratuito, salvo richieste manifestamente infondate.

11. Modifiche a questa informativa

In caso di modifiche sostanziali daremo avviso via email agli interessati registrati, pubblicazione sul sito, notifica nella dashboard.

Il Titolare del trattamento — OMNEX Cybersecurity — Aurelio Capriello