Privacy Policy

Data di entrata in vigore: 01.09.2023
Ultimo aggiornamento: 29.06.2026

1. Titolare del trattamento

Etherna SA, Via Rava 13, 6974 Aldesago (Lugano), Svizzera — CHE-315.583.090. Contatto per la privacy e per l'esercizio dei diritti: [email protected].

Responsabile interno per la protezione dei dati: Mirko Da Corte ([email protected]). Etherna gestisce la conformità internamente; non è nominato un consulente esterno (il CPD ex art. 10 nLPD è facoltativo).

2. Ambito e leggi applicabili

La presente informativa descrive il trattamento dei dati personali degli utenti dei servizi Etherna (sito etherna.io, autenticazione Etherna SSO, gateway e servizi collegati — il "Servizio"). Si applicano la Legge federale svizzera sulla protezione dei dati (nLPD/LPD, in vigore dal 1° settembre 2023) e, ove i servizi siano offerti a interessati nell'Unione europea, il Regolamento (UE) 2016/679 (GDPR).

I dati di dipendenti, fornitori e collaboratori sono oggetto di informative separate e non sono coperti da questo documento.

3. Categorie di dati trattati

  • Dati di registrazione e account: username, password (conservata solo come hash, mai in chiaro), codice di invito (se previsto).
  • Dati di contatto: indirizzo e-mail (facoltativo, salvo iscrizione alla newsletter — vedi §4.5), numero di telefono (facoltativo). L'e-mail, se fornita, è verificata tramite codice.
  • Dati di autenticazione e sicurezza: secondo fattore (chiave TOTP per app authenticator, credenziali FIDO2/WebAuthn, codici di recupero), security stamp, contatore tentativi.
  • Dati relativi alla blockchain: indirizzo/i Ethereum (di login e/o gestito dalla piattaforma) e relativi riferimenti on-chain. Per gli account non-web3 la piattaforma genera automaticamente una chiave Ethereum "gestita" come ripiego tecnico per identità/autenticazionenon è un wallet di custodia di fondi e non va usata per ricevere denaro. È ottenibile dall'utente tramite API ma non è normalmente esposta ed è cifrata a riposo nel database (AES-256-GCM).
  • Dati di utilizzo e tecnici: log applicativi e di sicurezza (es. accessi), metriche aggregate, dati raccolti in forma anonima/aggregata.
  • Dati di marketing: indirizzo e-mail conferito per la sola newsletter e relativo stato di iscrizione (gestiti dal fornitore newsletter — §4.5, §6).
  • Registrazioni di accettazione dei documenti legali: per ciascuna accettazione, il tipo di documento (Termini di Servizio, Informativa Privacy), la versione accettata e la data/ora. Conservate da Etherna come prova dell'accettazione (accountability — §4.8); l'utente può consultarle nella propria area account e includerle nell'esportazione dei dati personali (§9).
  • Contenuti caricati sui servizi di archiviazione/gateway: governati dai rispettivi termini di servizio; nota la natura pubblica e potenzialmente immutabile di blockchain e rete Swarm (§7).

4. Finalità e basi giuridiche

Trattiamo i dati per le seguenti finalità, ciascuna con la relativa base giuridica (nLPD / GDPR):

  • 4.1 — Registrazione, autenticazione e gestione dell'account (SSO). Dati: account, contatto, autenticazione, indirizzo Ethereum. Base: esecuzione del contratto / rapporto richiesto dall'utente (lecito ex nLPD; GDPR art. 6(1)(b)).
  • 4.2 — Erogazione dei servizi della piattaforma (gateway, storage, ecc.). Dati: account, blockchain, contenuti. Base: esecuzione del contratto (GDPR art. 6(1)(b)).
  • 4.3 — Sicurezza, 2FA, prevenzione abusi. Dati: autenticazione/sicurezza, log. Base: interesse legittimo / esecuzione del contratto / obbligo di legge (GDPR art. 6(1)(c)(f)).
  • 4.4 — Comunicazioni tecniche e di servizio (es. verifica e-mail, reset password). Dati: contatto. Base: esecuzione del contratto (GDPR art. 6(1)(b)).
  • 4.5 — Newsletter / comunicazioni di marketing. Dati: e-mail. Baseconsenso (GDPR art. 6(1)(a) + art. 7); in CH opt-in preventivo ex art. 3 cpv. 1 lett. o LCD, revocabile in ogni momento.
  • 4.6 — Statistiche e analisi in forma anonima/aggregata. Dati: dati tecnici anonimizzati. Base: dati anonimi → fuori dall'ambito dei dati personali; se pseudonimi, interesse legittimo.
  • 4.7 — Adempimenti legali, contabili e fiscali. Dati: dati necessari. Base: obbligo di legge (GDPR art. 6(1)(c)).
  • 4.8 — Prova di accettazione di Termini e Informativa (registrata al sign-up). Dati: registrazioni di accettazione (documento, versione, data/ora). Baserendicontazione/accountability e interesse legittimo a dimostrare l'accettazione (nLPD; GDPR art. 5(2), 7(1), 6(1)(c)(f)).

L'e-mail nel database SSO non viene mai usata per comunicazioni non tecniche: il marketing avviene esclusivamente tramite il fornitore newsletter, previo consenso (§4.5).

Le statistiche d'uso (§4.6) sono raccolte con uno strumento di analisi self-hosted (sui server di Etherna), senza cookie e con indirizzo IP anonimizzato: non profilano il singolo utente, non comportano trasferimenti a terzi e non richiedono consenso.

5. Natura del conferimento

Il conferimento dei dati di registrazione (username, password) è necessario per creare l'account. L'e-mail è facoltativa; diventa necessaria solo se l'utente sceglie di iscriversi alla newsletter (in tal caso è richiesta e verificata). Il mancato conferimento dei dati necessari impedisce l'erogazione del relativo servizio. L'accettazione dei Termini di Servizio e la presa visione della presente Informativa sono necessarie per completare la registrazione; l'accettazione viene registrata come prova (§3, §4.8).

6. Destinatari e responsabili del trattamento

Etherna non vende i dati personali. Si avvale dei seguenti fornitori, che agiscono come responsabili del trattamento (art. 9 nLPD / art. 28 GDPR) sulla base di un contratto sul trattamento dei dati (DPA):

  • Exoscale (Akenes SA) — hosting/IaaS, database — Svizzera / UE.
  • netcup GmbH — hosting/IaaS — Germania (UE).
  • Contabo GmbH — hosting/IaaS — Germania (UE).
  • Cloudflare, Inc. — CDN / sicurezza di rete — USA + globale (vedi §6.1, DPF).
  • SendGrid (Twilio Inc.) — invio e-mail transazionali — USA (vedi §6.1, DPF).
  • Mailchimp (Intuit / The Rocket Science Group) — newsletter / gestione lista — USA (vedi §6.1, DPF).
  • BorgBase (Peakford Ltd) — backup remoti (ricevuti già cifrati, chiavi in mano a Etherna) — Malta (UE).
  • Rete Swarm — archiviazione decentralizzata — rete pubblica distribuita (vedi §7).
  • Proton AG — e-mail: caselle interne e indirizzi di contatto pubblici (info@, privacy@) — Svizzera.

I dati possono inoltre essere comunicati ad autorità giudiziarie/amministrative ove imposto dalla legge e, in caso di fusione/acquisizione, all'avente causa.

6.1 Trasferimenti all'estero (art. 16-17 nLPD / Capo V GDPR)

I fornitori USA — Cloudflare, SendGrid (Twilio), Mailchimp (Intuit) — trattano dati negli USA. Il trasferimento si fonda sulla loro certificazione Swiss-U.S. / EU-U.S. Data Privacy Framework (DPF), risultata attiva alla verifica del 2026-06 (fonte: lista ufficiale dataprivacyframework.gov; in subordine, Clausole Contrattuali Tipo (SCC) con addendum svizzero). Gli altri fornitori sono in Svizzera o UE (Exoscale e Proton in CH; netcup e Contabo in DE; BorgBase a Malta), senza trasferimento verso Paesi terzi.

7. Dati su blockchain (on-chain) e rete Swarm

Alcuni dati (es. indirizzi Ethereum, riferimenti e contenuti) possono essere registrati on-chain o sulla rete Swarm, che sono sistemi pubblici, distribuiti e tendenzialmente immutabili: una volta pubblicati, non è tecnicamente possibile modificarli o cancellarli, e possono essere replicati da terzi al di fuori del controllo di Etherna. Di conseguenza il diritto di rettifica e cancellazione è limitato per questi dati. Etherna applica il principio di minimizzazione, evitando di registrare on-chain dati identificativi non necessari.

8. Periodi di conservazione

I dati sono conservati per il tempo necessario alle finalità e poi cancellati o anonimizzati:

  • Account e dati associaticancellati immediatamente dal database alla chiusura dell'account.
  • Dati contabili/fiscali10 anni (obbligo di legge svizzero) — anche dopo la chiusura dell'account, ove dovuti.
  • Newsletter: fino alla revoca del consenso / disiscrizione (gestita dal fornitore).
  • Registrazioni di accettazione legale (§3, §4.8): per la durata dell'account (cancellate con esso).
  • Log applicativi/di sicurezzanon contengono dati personali, quindi sono fuori dall'ambito della presente informativa.
  • Dati on-chain/Swarm: vedi §7 (cancellazione tecnicamente non garantita).

9. Diritti dell'interessato

Nei limiti di legge, l'interessato ha diritto di: accesso (art. 25 nLPD / art. 15 GDPR), rettificacancellazione/distruzionelimitazioneopposizioneportabilità (art. 28 nLPD / art. 20 GDPR) e revoca del consenso in ogni momento (senza pregiudizio per la liceità del trattamento svolto prima della revoca). Per la newsletter la disiscrizione è sempre disponibile tramite il link in ogni messaggio e il preference center del fornitore. Le registrazioni di accettazione dei documenti legali (§3, §4.8) sono consultabili nell'area account dell'utente e incluse nell'esportazione dei dati personali.

Richieste a [email protected]. Reclamo all'autorità di controllo: in Svizzera IFPDT/PFPDT; nell'UE l'autorità di controllo competente.

10. Processo decisionale automatizzato

Etherna non effettua decisioni automatizzate o profilazione con effetti giuridici/ significativi sull'interessato (art. 21 nLPD / art. 22 GDPR).

11. Sicurezza

Etherna adotta misure tecniche e organizzative adeguate: cifratura delle e-mail aziendali, hashing delle password, cifratura a riposo (AES-256-GCM) della chiave del wallet gestito, cifratura dei backup remotiautenticazione a due fattori (2FA) disponibile tramite app authenticator (TOTP) e chiave di sicurezza fisica (FIDO2/WebAuthn), controlli di accesso, ecc. Nessun sistema può garantire sicurezza assoluta.

12. Cookie

Il Servizio utilizza esclusivamente cookie tecnici/essenziali necessari al funzionamento e all'autenticazione. Non impiega cookie di terze parti, di profilazione/tracciamento né pubblicitari, e non effettua alcuna tracciatura: per questo non è richiesto un banner di consenso (infatti non è presente). Dettagli nella Cookie Policy (aggiornata al 27.06.2025).

13. Minori

Il Servizio — che comprende una piattaforma di pubblicazione e condivisione di contenuti — è riservato ai maggiorenni (18+) e non è destinato ai minori (vedi Termini §4). Etherna non raccoglie consapevolmente dati di minori di 18 anni; qualora venga a conoscenza di un account intestato a un minore, lo chiude e ne cancella i dati.

14. Modifiche all'informativa

Etherna può aggiornare la presente informativa; le modifiche rilevanti saranno comunicate con congruo preavviso e pubblicate sul Servizio con indicazione della data di aggiornamento. Per i Termini di Servizio, le modifiche sostanziali possono richiedere una nuova accettazione; la versione accettata è registrata (§4.8) proprio per consentire un'eventuale ri-accettazione.

15. Legge applicabile e foro

Disciplinati dai Termini di Servizio (https://info.etherna.io/terms-conditions/), cui si rinvia: diritto svizzero e foro di Lugano (Ticino).