📅 Ultimo aggiornamento: marzo 2025 · Versione piattaforma: v2.0
Art. 13(1)(a) GDPR
1. Titolare del Trattamento
Il titolare del trattamento dei dati personali raccolti attraverso la piattaforma NormaShield NIS2 Compliance Platform è:
Denominazione
NormaShield – NIS2 Compliance Platform
Natura
Piattaforma di supporto alla conformità NIS2 ad uso professionale interno
Riferimento normativo
D.Lgs. 138/2024 · ACN Det. 164179/2025 · Direttiva (UE) 2022/2555
Contatto
Per esercitare i propri diritti o per qualsiasi richiesta inerente al trattamento dei dati personali, l'interessato può contattare il titolare tramite i recapiti indicati nell'organizzazione che ha reso disponibile la presente piattaforma.
Nota sull'utilizzo della piattaforma. NormaShield è uno strumento pensato per uso interno professionale da parte di organizzazioni, consulenti e professionisti della cybersecurity che devono valutare e gestire la propria conformità alla Direttiva NIS2. I dati immessi nella piattaforma vengono trattati esclusivamente sul dispositivo dell'utente.
Art. 13(1)(d) GDPR
2. Tipologie di Dati Trattati
La piattaforma può raccogliere e trattare le seguenti categorie di dati personali:
2.1 Dati di navigazione
I sistemi informatici e le procedure software che gestiscono il server web acquisiscono, nel corso del loro normale funzionamento, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione Internet. In questa categoria rientrano:
- Indirizzi IP o nomi di dominio dei computer e dei terminali utilizzati dagli utenti
- Indirizzi URI/URL delle risorse richieste
- Orario della richiesta
- Metodo utilizzato nel sottoporre la richiesta al server
- Dimensione del file ottenuto in risposta
- Codice numerico indicante lo stato della risposta data dal server
- Altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente (user-agent del browser)
Questi dati sono necessari per la fruizione dei servizi web e vengono conservati nei log del server per fini di sicurezza e diagnostici.
2.2 Dati forniti volontariamente dall'utente
All'interno del modulo di configurazione dell'assessment (sezione "Dati Organizzazione"), l'utente può inserire i seguenti dati:
Ragione sociale
Denominazione dell'organizzazione soggetta a valutazione NIS2 (campo obbligatorio)
Partita IVA / C.F.
Identificativo fiscale dell'organizzazione (campo obbligatorio)
Sede legale
Indirizzo della sede principale dell'organizzazione
Referente
Nome e cognome del responsabile della conformità NIS2
Email
Indirizzo email del referente (campo obbligatorio, utilizzato per la generazione del report)
Ruolo / Qualifica
Posizione ricoperta nell'organizzazione dal referente
Trattamento locale. I dati inseriti nel modulo organizzazione sono elaborati esclusivamente nel browser dell'utente (tecnologia client-side). Non vengono trasmessi a server di NormaShield, né conservati in database remoti. La trasmissione avviene unicamente all'interno del documento PDF generato localmente e nei file JSON esportati dall'utente stesso per la propria gestione.
Art. 13(1)(c) & 13(2)(a) GDPR
3. Finalità e Base Giuridica del Trattamento
Finalità
Erogazione del servizio di compliance NIS2
Descrizione
Classificazione dell'organizzazione (Soggetto Essenziale / Importante), esecuzione dell'assessment sui controlli NIS2 (Allegati 1 e 2 del D.Lgs. 138/2024), analisi del rischio con il metodo CIS RAM, generazione del report PDF e consultazione del catalogo misure ACN.
Base giuridica
Art. 6(1)(b) GDPR – Esecuzione di un contratto o misure precontrattuali su richiesta dell'interessato; e/o Art. 6(1)(f) GDPR – Legittimo interesse del titolare all'erogazione dello strumento di compliance.
Finalità
Sicurezza informatica e prevenzione degli abusi
Descrizione
Protezione dell'infrastruttura server, rilevazione di accessi non autorizzati, anomalie di sistema e attività malevole tramite l'analisi dei log di navigazione.
Base giuridica
Art. 6(1)(f) GDPR – Legittimo interesse del titolare alla sicurezza dei sistemi informatici.
Finalità
Caricamento di risorse tecniche (font e librerie)
Descrizione
Per il corretto funzionamento della piattaforma vengono caricati font tipografici da Google Fonts e librerie JavaScript da Cloudflare CDN. Tali operazioni comportano la trasmissione dell'indirizzo IP dell'utente ai rispettivi server.
Base giuridica
Art. 6(1)(f) GDPR – Legittimo interesse al funzionamento tecnico della piattaforma; compatibilità con il Considerando 47 del GDPR.
I dati personali non sono utilizzati per finalità di marketing, profilazione, pubblicità comportamentale o analisi statistiche aggregate. Non viene effettuata alcuna profilazione automatizzata ai sensi dell'art. 22 GDPR.
Art. 13(2)(f) GDPR
4. Modalità di Trattamento
Il trattamento dei dati personali avviene mediante strumenti informatici e telematici, con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantirne la sicurezza e la riservatezza.
In particolare:
- Elaborazione client-side: tutti i calcoli di assessment, risk scoring e generazione del report PDF avvengono esclusivamente nel browser dell'utente, senza trasmissione dei dati a server remoti di NormaShield.
- Archiviazione locale: i dati dell'assessment possono essere salvati in formato JSON sul dispositivo dell'utente tramite la funzione di esportazione; tale file è sotto il controllo esclusivo dell'utente.
- Generazione PDF: il report viene creato localmente tramite le librerie jsPDF e html2canvas; il file prodotto non viene trasmesso a server di terze parti da parte della piattaforma.
- Log di server: i dati di navigazione (indirizzo IP, user-agent) vengono trattati automaticamente dall'infrastruttura web secondo le normali pratiche di sicurezza.
Non sono previsti processi decisionali automatizzati né attività di profilazione dell'utente.
Art. 13(1)(e) GDPR
5. Servizi di Terze Parti
Per il corretto funzionamento della piattaforma vengono utilizzati i seguenti servizi di terze parti, che potrebbero raccogliere dati di navigazione (in particolare l'indirizzo IP) dell'utente:
| Servizio |
Fornitore |
Finalità |
Dati trasmessi |
Privacy Policy |
| Google Fonts |
Google LLC (USA) |
Caricamento dei font tipografici Inter e IBM Plex Mono utilizzati dall'interfaccia |
Indirizzo IP, user-agent del browser, URL della pagina richiedente |
policies.google.com/privacy |
| Cloudflare CDN |
Cloudflare Inc. (USA) |
Distribuzione delle librerie JavaScript: Chart.js (4.4.1), jsPDF (2.5.1), html2canvas (1.4.1) |
Indirizzo IP, user-agent del browser, URL della risorsa richiesta |
cloudflare.com/privacypolicy |
Nessun altro servizio di terze parti è integrato nella piattaforma. In particolare, non sono presenti: strumenti di analisi del traffico (Google Analytics, Matomo o simili), pixel di tracciamento, integrazioni con social network, sistemi di pagamento online, servizi di autenticazione di terze parti.
Art. 122 D.Lgs. 196/2003 & Linee Guida Garante
6. Cookie e Archiviazione Locale
6.1 Cookie
La piattaforma NormaShield non utilizza cookie di profilazione né cookie di terze parti a fini di marketing o tracciamento. Possono essere utilizzati esclusivamente cookie tecnici e funzionali strettamente necessari al funzionamento della piattaforma.
6.2 Web Storage (localStorage / sessionStorage)
La piattaforma utilizza le funzionalità di archiviazione locale del browser (localStorage e/o sessionStorage) per mantenere in sessione i dati dell'assessment NIS2 durante l'utilizzo della piattaforma. Tali dati:
- Restano memorizzati esclusivamente sul dispositivo dell'utente
- Non vengono trasmessi a server remoti di NormaShield
- Possono essere cancellati in qualsiasi momento svuotando la cache e i dati di navigazione del browser
- Sono accessibili unicamente dal sito NormaShield all'interno del medesimo browser
Come gestire i dati locali. Per eliminare i dati dell'assessment memorizzati localmente è possibile utilizzare la funzione "Reset" disponibile nella piattaforma, oppure cancellare manualmente i dati del sito dal proprio browser (Impostazioni > Privacy e sicurezza > Cancella dati di navigazione).
Art. 13(2)(a) GDPR
7. Periodo di Conservazione dei Dati
Dati organizzazione
Trattati esclusivamente in sessione nel browser dell'utente. Non vengono conservati da NormaShield su server propri. La persistenza locale (localStorage) è gestita dall'utente e può essere rimossa in qualsiasi momento.
Dati di navigazione
I log del server web vengono conservati per un periodo non superiore a 12 mesi, salvo diverse prescrizioni di legge o necessità di difesa in giudizio. Decorso tale termine i dati vengono cancellati o anonimizzati.
File JSON / PDF
I file esportati dall'utente (report PDF, archivi JSON) sono sotto l'esclusivo controllo dell'utente. NormaShield non conserva copie di tali file.
Artt. 44-49 GDPR
8. Trasferimento di Dati verso Paesi Terzi
I dati di navigazione (indirizzo IP) possono essere trasferiti verso server localizzati negli Stati Uniti in occasione del caricamento di risorse dalle CDN di Google LLC (Google Fonts) e Cloudflare Inc.
Tali trasferimenti sono effettuati nel rispetto degli strumenti di garanzia previsti dal GDPR:
- Clausole contrattuali standard (SCC) adottate dalla Commissione europea ai sensi dell'art. 46(2)(c) GDPR
- Data Privacy Framework (DPF) UE-USA (Decisione di adeguatezza della Commissione del 10 luglio 2023), per i fornitori certificati
Per ulteriori informazioni sulle garanzie adottate dai singoli fornitori si rimanda alle rispettive privacy policy indicate alla sezione 5.
Artt. 15-22 GDPR
9. Diritti dell'Interessato
In relazione ai dati personali trattati, l'interessato ha il diritto di:
Art. 15 GDPR
Diritto di accesso
Ottenere conferma che sia o meno in corso un trattamento di dati che lo riguardano e, in tal caso, accedere a tali dati.
Art. 16 GDPR
Diritto di rettifica
Ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.
Art. 17 GDPR
Diritto alla cancellazione
Ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo ("diritto all'oblio").
Art. 18 GDPR
Diritto di limitazione
Ottenere la limitazione del trattamento nelle ipotesi previste dalla norma.
Art. 20 GDPR
Portabilità dei dati
Ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
Art. 21 GDPR
Diritto di opposizione
Opporsi in qualsiasi momento al trattamento dei dati personali fondato sul legittimo interesse del titolare.
Art. 77 GDPR
Diritto di reclamo
Proporre reclamo all'Autorità Garante per la protezione dei dati personali (Garante Privacy – www.garanteprivacy.it).
Art. 79 GDPR
Ricorso giurisdizionale
Proporre ricorso all'autorità giurisdizionale competente qualora ritenga che i propri diritti siano stati violati.
Per esercitare i propri diritti, l'interessato può contattare il titolare del trattamento attraverso i canali indicati nella sezione 1. La richiesta sarà evasa entro 30 giorni dal ricevimento, salvo complessità particolari che possono comportare una proroga di ulteriori 60 giorni, previa comunicazione all'interessato.
Principio di trasparenza GDPR
10. Modifiche all'Informativa
Il titolare si riserva il diritto di apportare modifiche alla presente informativa in qualsiasi momento, dandone pubblicità agli utenti tramite aggiornamento del presente documento. Si invita pertanto a consultare periodicamente questa pagina, prendendo come riferimento la data di ultimo aggiornamento indicata in cima alla pagina.
In caso di modifiche sostanziali al trattamento dei dati personali, verrà fornita un'adeguata notifica agli utenti prima che le modifiche diventino operative.
Normativa di riferimento. La presente informativa è redatta in conformità a: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (GDPR) · D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy) come modificato dal D.Lgs. 101/2018 · Provvedimenti e linee guida dell'Autorità Garante per la protezione dei dati personali · Linee guida dell'EDPB (European Data Protection Board).