Informativa sulla Privacy — Spliven

1. Chi siamo (Titolare del Trattamento)

Spliven S.r.l.
Consorziale Trapani Rocciola 25, 97015 Modica (RG)
P.IVA / C.F.: 01819950880
PEC: spliven@pec.it
Email privacy: privacy@spliven.it

2. Cos'è Spliven

Spliven è un'applicazione mobile dedicata ai membri delle configurazioni di autoconsumo (comunità energetiche rinnovabili, gruppi di autoconsumo collettivo) gestite tramite la piattaforma Spliven o in licenza da gestori esterni.

L'app consente di:

• Visualizzare i propri dati energetici (produzione, consumo, condivisione)
• Consultare i dati economici (incentivi GSE, ripartizione benefici)
• Gestire il proprio profilo all'interno della propria configurazione

L'accesso è su invito: l'utente viene invitato dall'amministratore o referente della propria configurazione, previa adesione al Soggetto Giuridico della comunità.

3. Quali dati raccogliamo

3.1 Dati identificativi e anagrafici

• Nome, cognome, codice fiscale
• Data e luogo di nascita (persone fisiche)
• Indirizzo di residenza o sede legale
• Email, telefono (opzionale)
• Tipo soggetto (persona fisica / giuridica)
• IBAN (per l'accredito dei benefici individuali)

Fonte: comunicati dal socio al Soggetto Giuridico al momento dell'adesione, e inseriti nel sistema dall'amministratore della configurazione. Per i potenziali nuovi soci, i dati sono raccolti tramite il form pubblico di manifestazione d'interesse.

3.2 Dati di accesso

• Email (username)
• Password (conservata solo in forma cifrata con algoritmo bcrypt, mai in chiaro)
• Token di sessione (per mantenere il login)
• Indirizzo IP (per sicurezza e prevenzione accessi non autorizzati)

3.3 Dati energetici

• Codice POD (punto di prelievo/immissione energia)
• Consumi e produzione oraria (kWh)
• Energia condivisa e autoconsumo
• Classe di utenza (consumer, prosumer)
• Dati impianto (tipo, potenza kWp)

Fonte: i dati energetici possono provenire da due canali:

• Portale GSE (Area Clienti): un operatore Spliven, autorizzato dal Soggetto Giuridico, accede al portale del Gestore dei Servizi Energetici con le proprie credenziali personali e, previa associazione alla configurazione da parte del GSE, scarica periodicamente i dati di misura orari, i corrispettivi economici e la documentazione di fatturazione. L'operatore può autorizzare Spliven a conservare le proprie credenziali in forma cifrata per semplificare le operazioni periodiche. L'accesso richiede in ogni caso un codice OTP (nessun accesso completamente automatizzato).
• Misuratori energetici (opzionale): se il socio ha acquistato e installato un misuratore energetico presso la propria utenza, il dispositivo rileva automaticamente i dati dal contatore e li trasmette al server Spliven tramite il fornitore del dispositivo. Nel flusso di trasmissione transitano solo l'identificativo del dispositivo e le misure energetiche, senza dati personali dell'utente.

L'acquisto del misuratore è un'opzione separata dal servizio Spliven: i soci possono partecipare alla configurazione anche senza misuratore (con soli dati GSE).

3.4 Dati economici

• Incentivi GSE calcolati
• Corrispettivo di Valorizzazione (CACV)
• Ritiro dedicato / vendita energia (ove applicabile)
• Ripartizione dei benefici individuali
• Premi referral (ove previsti), importo lordo/netto, ritenuta fiscale

3.5 Dati di governance

• Ruolo nella configurazione (presidente, consigliere, membro, ecc.)
• Durata della carica
• Categoria socio, diritto di voto, quota associativa, stato (attivo/sospeso/dimesso)

3.6 Dati tecnici del dispositivo

• Push notification token (solo se l'utente acconsente alle notifiche)

4. Perché trattiamo i tuoi dati (finalità e base giuridica)

Finalità	Perché è lecito (base giuridica)
Erogazione del servizio Spliven: gestione membership, visualizzazione dati energetici/economici, calcolo e ripartizione incentivi	Esecuzione del contratto (Termini di Servizio dell'app) — Art. 6(1)(b)
Autenticazione, sicurezza dell'account, prevenzione accessi non autorizzati	Esecuzione contratto + Legittimo interesse alla sicurezza — Art. 6(1)(b) e (f)
Adempimenti verso il GSE, ARERA, Agenzia delle Entrate e altre autorità competenti	Obbligo di legge (D.Lgs. 199/2021, D.M. 414/2023) — Art. 6(1)(c)
Notifiche push (report mensili, nuovi incentivi)	Tuo consenso — Art. 6(1)(a)
Contabilità e obblighi fiscali	Obbligo di legge — Art. 6(1)(c)
Tracciamento operazioni sensibili (audit log)	Legittimo interesse alla sicurezza e responsabilità — Art. 6(1)(f)
Download dati dal portale GSE tramite operatore autorizzato, con eventuale custodia cifrata delle credenziali dell'operatore	Consenso esplicito dell'operatore per la custodia credenziali — Art. 6(1)(a). Obbligo legale per il download dei dati — Art. 6(1)(c)
Gestione registro soci (categoria, voto, quota, stato)	Obbligo legale (adempimenti ETS/RUNTS) — Art. 6(1)(c)
Gestione premi referral e ritenute fiscali (ove previsti)	Esecuzione contratto — Art. 6(1)(b) + Obbligo legale (ritenute) — Art. 6(1)(c)
Gestione IBAN personale per accredito benefici	Esecuzione contratto — Art. 6(1)(b)
Valutazione della richiesta di adesione tramite manifestazione d'interesse	Misure precontrattuali su richiesta dell'interessato — Art. 6(1)(b)

5. A chi comunichiamo i tuoi dati

I dati personali possono essere comunicati alle seguenti categorie di destinatari:

Categoria di destinatario	Cosa condividiamo	Perché
Enti pubblici e autorità (GSE, Agenzia delle Entrate, ARERA)	POD, dati energetici, anagrafica, CF, dati fiscali	Obbligo di legge
Fornitori di servizi informatici (hosting, infrastruttura cloud)	Tutti i dati conservati sui loro server	Responsabili del trattamento (Art. 28). Server in Italia
Fornitori di servizi di autenticazione (Google, Apple — social login)	Email verificata dall'account Google/Apple (solo per verifica identità al login)	Esecuzione contratto
Fornitori di servizi di notifica (Google FCM, Apple APNs)	Solo il token push del dispositivo	Per inviarti le notifiche (se acconsenti)
Fornitori di servizi di email transazionali	Nome, cognome, email, contenuto email di servizio (conferma iscrizione, invito all'app, reset password, notifiche amministrative)	Esecuzione contratto. Server in UE (Germania/Paesi Bassi) — Responsabile del trattamento (Art. 28)
Fornitore del dispositivo di misura (ove applicabile)	Nominativo, CF, email, indirizzo, POD (solo se hai acquistato un misuratore)	Titolare autonomo del trattamento per attivazione dispositivo
Consulenti professionali (commercialista, avvocato, ingegnere)	Dati necessari alle rispettive attività	Responsabili del trattamento (Art. 28)
Istituto bancario	IBAN del socio per accredito benefici	Esecuzione contratto
Amministratore/referente della tua configurazione	Tuoi dati anagrafici, POD, dati energetici	Gestione della configurazione
Altri soci della configurazione	Solo dati aggregati (MAI i tuoi dati individuali)	Trasparenza associativa

I tuoi dati NON vengono venduti a terzi, né usati per pubblicità o profilazione commerciale.

L'elenco aggiornato dei responsabili del trattamento è disponibile su richiesta scrivendo a privacy@spliven.it.

6. Trasferimento dati fuori dall'UE

I dati sono conservati su server situati in Italia.

Per i seguenti servizi, i dati possono transitare verso gli Stati Uniti, con garanzie adeguate:

Servizio	Dati trasferiti	Garanzia
Servizi di autenticazione (Google, Apple)	Email per verifica identità	Data Privacy Framework (DPF) UE-USA
Servizi di notifica push (Google FCM, Apple APNs)	Push token dispositivo	DPF UE-USA
Servizi anti-abuso (Google reCAPTCHA)	IP, dati navigazione (form di manifestazione interesse)	DPF UE-USA

7. Per quanto tempo conserviamo i tuoi dati

Dato	Durata	Motivo
Account attivo	Per tutta la durata della tua partecipazione alla configurazione	Servizio
Dopo cancellazione account	Anonimizzazione entro 30 giorni	Periodo di ripensamento
Dati anagrafici	Durata configurazione + 10 anni	Obbligo fiscale (Art. 2220 c.c.)
Dati energetici individuali	Durata configurazione + 5 anni	Possibili verifiche GSE
Dati economici	10 anni	Obbligo fiscale
Log di sicurezza (IP, azioni)	12 mesi	Sicurezza
Audit log (operazioni sensibili)	24 mesi	Tracciabilità
Push token	Fino a revoca o cancellazione account	Notifiche
Token invito	7 giorni	Scadenza automatica
Tentativi di login falliti	15 minuti	Protezione anti brute-force
IBAN personale	Durata rapporto + 10 anni	Obbligo fiscale
Dati registro soci	Durata configurazione + 10 anni	Obbligo ETS/RUNTS
Premi referral e ritenute	10 anni	Obbligo fiscale
Dati manifestazione d'interesse (se non approvata)	12 mesi dalla richiesta	Minimizzazione dei dati

8. I tuoi diritti

Puoi in qualsiasi momento:

• Accedere ai tuoi dati (li vedi direttamente nell'app, oppure scrivi a privacy@spliven.it)
• Correggere dati errati (nome/cognome dall'app; altri dati via email)
• Cancellare il tuo account (dall'app: Profilo > Elimina account)
• Limitare il trattamento (via email)
• Portare i tuoi dati altrove in formato leggibile (via email, formato JSON o CSV)
• Opporti al trattamento (via email)
• Revocare il consenso alle notifiche push (dalle impostazioni del telefono)

Rispondiamo entro 30 giorni (prorogabili a 90 per richieste complesse, con comunicazione del motivo). L'esercizio dei diritti è gratuito.

Se ritieni che i tuoi diritti non siano stati rispettati, puoi presentare reclamo al Garante per la Protezione dei Dati Personali:

• Sito: www.garanteprivacy.it
• Email: protocollo@gpdp.it
• PEC: protocollo@pec.gpdp.it

9. Decisioni automatizzate

I calcoli di ripartizione degli incentivi sono effettuati da algoritmi basati sulle formule ufficiali del GSE e sulla normativa vigente (TIAD, Regole Operative). Hai diritto a richiedere un riesame umano dei calcoli che ti riguardano scrivendo a privacy@spliven.it.

10. Minori

L'app è destinata a utenti maggiorenni (18+). L'accesso è su invito e l'identità del socio viene verificata dall'amministratore della configurazione.

11. Modifiche a questa informativa

In caso di modifiche significative, ti avviseremo tramite l'app. La versione aggiornata sarà sempre disponibile in app nella sezione Profilo > Privacy e a questo indirizzo.