Informativa sulla Privacy
Ultimo aggiornamento: 26 giugno 2026
1. Introduzione e identificazione
La NexTool Soluções em TI LTDA, iscritta al CNPJ con il n. 38.239.534/0001-48 ("NexTool", "NexTool Solutions", "noi" o "nostro"), responsabile del dominio nextoolsolutions.com e dei servizi ad esso associati, rispetta la privacy degli interessati ed è impegnata nella protezione dei dati personali che tratta, in conformità con la Lei n. 13.709/2018 (Legge Generale sulla Protezione dei Dati Personali - LGPD).
La presente Informativa sulla Privacy descrive come trattiamo i dati personali nei tre ambiti del nostro ecosistema:
- Sito istituzionale (nextoolsolutions.com): pagine informative, blog, modulo di contatto e newsletter;
- Portale clienti (app.nextoolsolutions.com): registrazione, autenticazione, gestione dell'account, sottoscrizione, pagamento e licenza dei moduli;
- Plugin NexTool per GLPI e relativi moduli: software installato nell'infrastruttura del cliente, comprese le funzionalità di intelligenza artificiale, messaggistica e integrazioni con servizi esterni.
Utilizzando uno qualsiasi di questi ambiti, dichiari di essere a conoscenza della presente Informativa. Si raccomanda la lettura integrale. In caso di dubbio, utilizza il canale del Responsabile indicato nella sezione 14.
2. Ruoli nel trattamento: Titolare e Responsabile
La LGPD distingue il Titolare (a cui spettano le decisioni sul trattamento - Art. 5º, VI) dal Responsabile (chi tratta i dati per conto del Titolare - Art. 5º, VII). Nel nostro ecosistema, la NexTool agisce in entrambi i ruoli, a seconda dell'ambito:
| Ambito | Ruolo della NexTool | Titolare dei dati |
|---|---|---|
| Sito istituzionale | Titolare | NexTool |
| Portale clienti (account, pagamento, licenza) | Titolare | NexTool |
| Plugin e moduli in esecuzione all'interno del GLPI del cliente | Responsabile | Il cliente (organizzazione che gestisce l'istanza GLPI) |
Cosa significa questo in pratica: quando navighi sul nostro sito o crei un account sul Portale, la NexTool decide le finalità e i mezzi del trattamento ed è il tuo interlocutore diretto. I dati che invece risiedono all'interno dell'istanza GLPI del cliente (utenti, ticket, allegati) appartengono al cliente, che è il Titolare; in tali casi la NexTool agisce come Responsabile, trattando i dati per conto e su istruzione del cliente, secondo contratto e istruzioni. Se sei un collaboratore di un'organizzazione cliente e desideri esercitare i diritti sui dati trattati all'interno del suo GLPI, la tua richiesta deve essere rivolta prima alla tua organizzazione (Titolare); la NexTool fornirà supporto in qualità di Responsabile.
3. Dati che trattiamo, per ambito
3.1 Sito istituzionale (NexTool come Titolare)
- Dati del modulo di contatto: nome, e-mail, telefono, oggetto e contenuto del messaggio (testo libero, che può contenere altri dati che decidi di comunicare).
- Newsletter: indirizzo e-mail e data di iscrizione, quando scegli di riceverla.
- Dati tecnici di navigazione: indirizzo IP, User-Agent (browser e sistema operativo), pagine visitate, data e ora, stato e tempo di risposta.
- Metriche di audience del blog: identificatori di visualizzazione per il conteggio degli accessi per pubblicazione. Quando utilizziamo l'indirizzo IP per questa finalità, esso è anonimizzato/trattato in modo da non consentire l'identificazione diretta del visitatore.
- Commenti del blog: quando commenti tramite il sistema di commenti integrato (GitHub Discussions/giscus), il tuo login, l'avatar e il contenuto del commento sono trattati direttamente dalla piattaforma GitHub.
- Dati di misurazione e pubblicità: identificatori e cookie di misurazione (Google Analytics) e di pubblicità (Google AdSense), caricati solo dopo il tuo consenso (vedi sezione 6).
3.2 Portale clienti (NexTool come Titolare)
- Dati di account e contatto: nome, e-mail, telefono (e indicazione se è WhatsApp), azienda, ruolo e foto del profilo (quando inviata).
- Dati fiscali: CPF e/o CNPJ e, ove applicabile, data di nascita, richiesti al momento della sottoscrizione/checkout per l'emissione della fattura e l'adempimento degli obblighi fiscali.
- Credenziali e segreti di autenticazione: password (memorizzata in forma cifrata), token "ricordami" e segreti di autenticazione a due fattori (2FA/MFA). Tali dati sono mantenuti cifrati e non sono accessibili in chiaro dal nostro team.
- Identità di login social (quando utilizzi il SSO): accedendo con Google, GitHub, Microsoft o LinkedIn, riceviamo dal provider il tuo nome, e-mail e un identificatore dell'account.
- Dati di pagamento: l'elaborazione della carta è effettuata da Stripe. Non memorizziamo il numero completo della carta; conserviamo solo un mirror minimo (identificatore del cliente su Stripe, circuito e le ultime quattro cifre) e i dati dell'abbonamento.
- Dati di licenza: chiave e stato della licenza, piano, moduli abilitati, collegamento tra il tuo account e l'ambiente GLPI a cui si applica la licenza, e registri delle transazioni.
- Dati di sessione, dispositivo e audit: indirizzo IP, User-Agent, registri di accesso e traccia di audit delle azioni rilevanti (es.: login, collegamento dell'ambiente, modifica della licenza).
- Preferenze e comunicazione: preferenze di visualizzazione e opzione (opt-in) di ricezione di comunicazioni e novità.
3.3 Plugin NexTool e moduli (NexTool come Responsabile)
Il plugin NexTool e i suoi moduli vengono eseguiti all'interno dell'istanza GLPI del cliente, sui dati che appartengono al cliente (utenti, ticket, allegati). In tali trattamenti la NexTool agisce come Responsabile. Le categorie di dati coinvolte dipendono dai moduli attivati dal cliente e comprendono:
- Identificazione degli utenti del GLPI (nome, e-mail, login) di tecnici, operatori e richiedenti;
- Contenuto dei ticket ITIL (descrizioni, follow-up, attività, soluzioni e allegati), che può contenere dati personali di terzi comunicati dal richiedente;
- Identità aziendale tramite Microsoft Teams/Azure AD (nome, e-mail aziendale, identificatore dell'account e tenant) e contenuto dei messaggi, quando il cliente attiva l'assistente di assistenza tramite Teams;
- Telefono/WhatsApp, identificatore di Telegram e contenuto dei messaggi, quando sono attivati i moduli di messaggistica;
- Geolocalizzazione (coordinate), acquisita solo previa autorizzazione esplicita dell'utente nel browser, quando è attivato il modulo di geolocalizzazione;
- Dati del firmatario (nome, e-mail, CPF, documento e telefono per la validazione) quando è attivato il modulo di firma digitale;
- Dati del richiedente/approvatore nelle integrazioni di acquisto B2B;
- Dati dei ticket sincronizzati tra istanze GLPI, quando è attivata la sincronizzazione.
Inoltre, per consentire la licenza (rapporto in cui la NexTool è Titolare), il plugin comunica con la nostra infrastruttura (ContainerAPI) inviando dati tecnici dell'installazione, come un identificatore dell'ambiente, il dominio dell'istanza e i contatori di validazione della licenza. Tali dati sono destinati al controllo della licenza, alla distribuzione dei moduli e alla prevenzione delle frodi.
4. Finalità del trattamento
Trattiamo i dati personali per le seguenti finalità, a seconda dell'ambito:
- Sito: rispondere alle richieste di contatto (con apertura di un ticket nel nostro GLPI), condurre le attività precontrattuali e commerciali, inviare la newsletter previo consenso, garantire la sicurezza e prevenire frodi/abusi, misurare l'audience (previo consenso) e consentire i commenti sul blog.
- Portale: creare e mantenere l'account, autenticare l'accesso (compresi 2FA e login social), elaborare la sottoscrizione e il pagamento, emettere e gestire le licenze, collegare l'account all'ambiente GLPI, fornire supporto, adempiere agli obblighi fiscali e legali, prevenire le frodi e mantenere la traccia di audit.
- Plugin/moduli: eseguire le funzionalità sottoscritte dal cliente (assistenza tramite IA, messaggistica, firma digitale, sincronizzazione, geolocalizzazione ecc.) per conto e su istruzione del cliente Titolare, e gestire il controllo della licenza.
5. Basi giuridiche
Il trattamento si fonda sulle basi giuridiche della LGPD applicabili a ciascuna finalità:
- Esecuzione di un contratto e attività precontrattuali (Art. 7º, V): account, autenticazione, sottoscrizione, pagamento, licenza e collegamento dell'ambiente; gestione del contatto commerciale; esecuzione dei moduli per conto del cliente.
- Adempimento di un obbligo legale o regolamentare (Art. 7º, II): dati fiscali (CPF/CNPJ, transazioni) e conservazione dei registri di accesso alle applicazioni, ai sensi del Marco Civil da Internet (Lei n. 12.965/2014).
- Legittimo interesse (Art. 7º, IX): sicurezza delle informazioni, prevenzione delle frodi, audit, telemetria d'uso e metriche, sempre previa valutazione di proporzionalità e nel rispetto delle tue aspettative e dei tuoi diritti.
- Consenso (Art. 7º, I, e Art. 8º): newsletter e comunicazioni di marketing, cookie di misurazione e pubblicità, acquisizione della geolocalizzazione e trattamenti specifici che lo richiedano. Il consenso può essere revocato in qualsiasi momento.
Quando la NexTool agisce come Responsabile (plugin/moduli), la base giuridica è definita dal cliente Titolare; la NexTool tratta i dati secondo le istruzioni e il contratto.
6. Cookie e tecnologie di tracciamento
Utilizziamo cookie e tecnologie simili classificati per categoria. I cookie non essenziali (misurazione e pubblicità) sono caricati solo dopo il tuo consenso, manifestato nel banner di consenso, che consente di accettare o rifiutare per categoria e di modificare la scelta in qualsiasi momento.
Sito istituzionale:
| Cookie/tecnologia | Categoria | Finalità |
|---|---|---|
| Preferenza del tema (localStorage) | Necessario | Ricordare la modalità chiara/scura; non esce dal browser |
| cookie_consent | Necessario | Registrare le tue preferenze di consenso |
| Cloudflare Turnstile | Funzionale | CAPTCHA del modulo di contatto |
| Cloudflare (CDN/sicurezza) | Necessario | Distribuzione e protezione del sito |
| giscus (GitHub) | Funzionale | Commenti del blog (login gestito da GitHub) |
| Google Analytics (_ga, _ga_*) | Misurazione | Misurazione dell'audience - caricato solo dopo il consenso |
| Google AdSense (__gads, __gpi ecc.) | Pubblicità | Annunci e profilazione - caricato solo dopo il consenso |
Portale clienti: utilizza cookie strettamente necessari al funzionamento (sessione autenticata, protezione CSRF, "ricordami" e stato del flusso di login social). Essendo essenziali alla prestazione del servizio, non richiedono consenso, ma sono qui elencati per trasparenza.
7. Trattamento automatizzato e Intelligenza Artificiale
Alcuni moduli del plugin offrono funzionalità basate sull'intelligenza artificiale (ad esempio, riepilogo dei ticket, suggerimento di risposta, analisi del sentiment, ricerca semantica e traduzione) e assistenti di assistenza automatizzata (chatbot su Teams, WhatsApp e Telegram).
- Queste risorse elaborano il contenuto dei ticket per generare l'assistenza richiesta, ma non prendono decisioni automatizzate con effetti giuridici o che incidano in modo significativo sull'interessato (Art. 20 della LGPD); l'assistenza è condotta da un team umano e puoi richiedere una revisione umana.
- In diversi moduli si adotta il modello BYOK ("porta la tua chiave"): il provider di IA è sottoscritto e configurato dallo stesso cliente, che determina a quale servizio viene inviato il contenuto.
- Quando queste risorse inviano dati a provider esterni, si applicano le sezioni 8 (sub-responsabili) e 9 (trasferimento internazionale).
8. Condivisione, responsabili e sub-responsabili
Non vendiamo i tuoi dati personali. Condividiamo i dati solo con responsabili e partner necessari alla prestazione dei servizi, entro i limiti delle finalità della presente Informativa. I principali sono:
| Partner | Funzione | Ambito |
|---|---|---|
| Cloudflare | CDN, sicurezza, CAPTCHA | Sito |
| Google Analytics | Misurazione dell'audience (dopo il consenso) | Sito |
| Google AdSense | Pubblicità (dopo il consenso) | Sito |
| GitHub (giscus) | Commenti del blog | Sito |
| Google / GitHub / Microsoft / LinkedIn | Login social (SSO) | Portale |
| Stripe | Elaborazione dei pagamenti e degli abbonamenti | Portale |
| Brevo | Invio di e-mail transazionali (verifica, reimpostazione della password) | Portale |
| Hostinger | Hosting dell'infrastruttura | Portale/infra |
| OpenAI, Google, Anthropic | Provider di IA (riepilogo, risposta, traduzione, embedding) | Moduli |
| NexSuite (api-chat) | Orchestrazione dell'assistente di chat | Moduli |
| Microsoft 365/Teams | Canale e identità dell'assistente tramite Teams | Moduli |
| WhatsApp/Meta, Telegram | Messaggistica | Moduli |
| DeepL, Google Translate | Traduzione | Moduli |
| Mercado Eletrônico | Richieste di acquisto B2B | Moduli |
| Autentique | Firma digitale | Moduli |
| Provider di geocodifica | Conversione delle coordinate in indirizzo | Moduli |
L'elenco dettagliato e aggiornato dei responsabili può essere richiesto al Responsabile (sezione 14). Nei trattamenti in cui la NexTool è Responsabile, i partner sopra elencati agiscono come sub-responsabili, e la condivisione avviene per conto e su istruzione del cliente Titolare.
9. Trasferimento internazionale di dati
Alcuni responsabili e partner sono situati o elaborano dati fuori dal Brasile (ad esempio, negli Stati Uniti e nell'Unione Europea), tra cui Google, Microsoft, Stripe, Brevo, OpenAI, Anthropic, DeepL, Meta, Telegram e i provider di geocodifica. Anche il backend di orchestrazione della chat (NexSuite) può elaborare dati fuori dal Brasile. In tali casi, il trasferimento internazionale rispetta quanto disposto dagli Artt. 33 a 36 della LGPD, mediante garanzie di un livello adeguato di protezione, come le clausole contrattuali standard e gli impegni sulla privacy degli stessi provider.
L'infrastruttura gestita dalla stessa NexTool è mantenuta in Brasile, senza trasferimento di tali dati a terzi per finalità proprie: l'istanza GLPI del sito, l'infrastruttura di licenza (ContainerAPI) e il gateway di messaggistica WhatsApp. I moduli di firma digitale (Autentique) e di acquisto B2B (Mercado Eletrônico) sono forniti da aziende brasiliane; nella misura in cui qualsiasi elaborazione avvenga fuori dal Brasile, si applica ugualmente il regime di trasferimento internazionale sopra descritto.
10. Conservazione e cancellazione
Conserviamo i dati personali solo per il tempo necessario alle finalità per cui sono stati raccolti, nel rispetto dei termini di legge. Criteri per categoria:
| Categoria | Criterio di conservazione |
|---|---|
| Contatto/ticket (sito) | Per la durata dell'assistenza e per il termine di conservazione contrattuale/legale applicabile |
| Newsletter | Fino alla revoca del consenso (cancellazione dell'iscrizione), che può essere effettuata in qualsiasi momento |
| Log di accesso | Per il termine di sicurezza/diagnostica, nel rispetto del minimo legale del Marco Civil |
| Metriche di audience | Per un periodo limitato, in forma aggregata/anonimizzata |
| Account e licenza (portale) | Durante la vigenza del rapporto contrattuale e per i termini legali successivi |
| Dati fiscali e transazioni | Per i termini richiesti dalla normativa fiscale/contabile |
| Traccia di audit | Per un periodo compatibile con le finalità di sicurezza e prova |
Decorsi i termini, i dati vengono eliminati o anonimizzati, salvo le ipotesi di conservazione obbligatoria (Art. 16 della LGPD).
11. Diritti dell'interessato
Ai sensi dell'Art. 18 della LGPD, puoi, in qualsiasi momento:
- confermare l'esistenza del trattamento e accedere ai tuoi dati;
- correggere dati incompleti, inesatti o non aggiornati;
- richiedere l'anonimizzazione, il blocco o l'eliminazione di dati non necessari, eccessivi o trattati in modo non conforme;
- richiedere la portabilità dei dati;
- richiedere l'eliminazione dei dati trattati sulla base del consenso;
- ottenere informazioni sulla condivisione dei tuoi dati;
- revocare il consenso;
- opporti a un trattamento effettuato sulla base del legittimo interesse.
Nel Portale, mettiamo a disposizione strumenti per l'aggiornamento dei dati dell'account e per la richiesta di cancellazione/anonimizzazione dell'account, fatti salvi i dati che dobbiamo conservare per obbligo legale (es.: registri fiscali).
Per i dati trattati all'interno del GLPI del cliente (in cui la NexTool è Responsabile), rivolgi la richiesta all'organizzazione Titolare; la NexTool fornirà supporto alla gestione.
Per esercitare i tuoi diritti, utilizza il canale del Responsabile (sezione 14).
12. Sicurezza delle informazioni
Adottiamo misure tecniche e organizzative per proteggere i dati, tra cui: connessione HTTPS/TLS; archiviazione con crittografia e controlli di accesso; autenticazione a due fattori e segreti cifrati nel Portale; isolamento per istanza e per base di dati di ciascun cliente; comunicazione firmata (HMAC) tra i componenti; principio del privilegio minimo; e registri di audit. Gli accessi amministrativi ai dati dei clienti (compresa la funzionalità di visualizzazione assistita dell'account nel Portale) sono controllati e sottoposti ad audit.
13. Gestione degli incidenti
Manteniamo processi per il rilevamento, la risposta e il contenimento degli incidenti di sicurezza. In caso di incidente che possa comportare un rischio o un danno rilevante per gli interessati, comunicheremo all'Autorità Nazionale per la Protezione dei Dati (ANPD) e agli interessati coinvolti, ai sensi dell'Art. 48 della LGPD. Quando agiamo come Responsabile, comunicheremo al cliente Titolare affinché possa adempiere ai propri doveri.
14. Responsabile della Protezione dei Dati (DPO)
La NexTool mette a disposizione un canale di contatto con il suo Responsabile per chiarimenti sulla presente Informativa e per l'esercizio dei diritti:
- Responsabile: Richard Loureiro Leite
- E-mail: privacidade@nextoolsolutions.com
15. Modifiche alla presente Informativa
Possiamo aggiornare la presente Informativa in qualsiasi momento. In caso di modifiche rilevanti, rivedremo la data di "ultimo aggiornamento" in alto e, ove opportuno, comunicheremo attraverso i canali disponibili. L'uso continuato dopo l'entrata in vigore delle modifiche comporta la presa di conoscenza della versione aggiornata.
16. Contatto e foro
Per domande sulla presente Informativa, contattaci all'indirizzo privacidade@nextoolsolutions.com. La presente Informativa è regolata dalla legge brasiliana. È eletto il foro della Comarca de São João del-Rei/MG per dirimere le controversie, con rinuncia a qualsiasi altro.