SmartGarage.biz è progettato con un approccio orientato alla protezione dei dati, alla continuità
operativa, alla trasparenza contrattuale e alla sicurezza del servizio.
Questa pagina descrive, in chiave informativa e non esaustiva, il framework documentale,
organizzativo e tecnico adottato da Maxisoft® a supporto della gestione di privacy, sicurezza,
portabilità dei dati e continuità del servizio.
I riferimenti ufficiali e vincolanti restano quelli contenuti nella documentazione contrattuale e
informativa applicabile al servizio.
GDPR - Privacy by Design
Approccio privacy in linea con i principi del GDPR
SmartGarage.biz adotta un impianto documentale e contrattuale costruito tenendo conto dei principi
di protezione dei dati fin dalla progettazione e per impostazione predefinita di cui all'art. 25 GDPR
(Regolamento (UE) 2016/679). L'architettura e i processi del servizio sono progettati per favorire
minimizzazione dei dati, controllo degli accessi, separazione logica tra ambienti e gestione coerente
dei ruoli privacy applicabili.
Per i trattamenti svolti nell'ambito del sito e della piattaforma SaaS sono rese disponibili informative
dedicate, differenziate in base al contesto di utilizzo del servizio. Per i trattamenti effettuati per conto
del Cliente nell'ambito della piattaforma SaaS, è previsto uno specifico Data Processing Agreement
(DPA) ai sensi dell'art. 28 GDPR.
L'assetto privacy di SmartGarage.biz distingue con chiarezza i casi in cui Maxisoft® opera come
Titolare del trattamento da quelli in cui opera come Responsabile del trattamento per conto del
Cliente. Sono inoltre disciplinati, nella documentazione contrattuale applicabile, i temi relativi a sub-
responsabili, misure di sicurezza, assistenza al cliente, gestione delle richieste degli interessati,
restituzione o cancellazione dei dati a fine rapporto e garanzie per eventuali trasferimenti
internazionali, ove applicabili.
Le informazioni riportate in questa pagina descrivono il framework generale adottato da Maxisoft® e
devono essere lette congiuntamente alla documentazione contrattuale e privacy applicabile.
Eventuali funzionalità, misure o servizi specifici possono dipendere dal piano acquistato, dalle opzioni
attivate e dall'architettura concretamente in uso.
Documenti disponibili:
• Politica di privacy online
• Privacy Area Clienti e Piattaforma SmartGarage.biz
• Cookie Policy
• DPA / Nomina a Responsabile del trattamento
Data Act (Regolamento UE 2023/2854)
Portabilità, export e switching
La documentazione contrattuale di SmartGarage.biz disciplina le condizioni di export dei dati,
portabilità e switching verso altri fornitori di servizi di elaborazione dati, in coerenza con la normativa
applicabile e con le funzionalità effettivamente disponibili nel servizio.
• Switching trasparente: i Termini e Condizioni SaaS e la documentazione applicabile
descrivono le condizioni di uscita, export e migrazione dei dati verso altri fornitori, con
l'obiettivo di evitare ostacoli contrattuali o tecnici non necessari.
• Export dati: l'esportazione dei dati avviene, nei limiti delle funzionalità del piano e
dell'architettura del servizio, in formati strutturati e di uso comune. Eventuali API o strumenti
tecnici dedicati, se disponibili, sono disciplinati dalla documentazione tecnica applicabile.
• Trasparenza sui costi: Maxisoft® descrive nella documentazione contrattuale le condizioni
economiche applicabili a export, switching e servizi professionali eventualmente connessi.
Maxisoft® garantisce il diritto alla commutazione (switching) in conformità al Data Act.
Attualmente, e in anticipo rispetto agli obblighi normativi, Maxisoft® non applica costi di uscita
per l'estrazione dei dati in modalità self-service né per l'esportazione standard in formato
strutturato e di uso comune. In linea con il Regolamento (UE) 2023/2854 (Data Act), a
decorrere dal 12 gennaio 2027 (data di piena applicabilità dell'art. 23 sui costi di
commutazione) sarà garantito l'azzeramento completo di qualsiasi onere economico legato al
processo di commutazione standard. Già oggi non sussistono costi di switching per ricevere i
dati in un formato di uso comune e leggibile meccanicamente o per l'estrazione self-service
dei dati.
AI Act - Regolamento (UE) 2024/1689
Intelligenza Artificiale Trasparente
Approccio orientato a trasparenza, controllo umano e uso limitato dei dati
SmartGarage.biz può integrare sistemi di Intelligenza Artificiale e agenti vocali per attività di supporto,
assistenza, instradamento delle richieste e automazioni applicative.
• Trasparenza verso l'utente: Maxisoft® garantisce che l'utente sia chiaramente informato di
interagire con un sistema automatizzato ai sensi dell'art. 50 del Regolamento (UE) 2024/1689
(AI Act). L'output generato dall'IA è distinguibile e i sistemi non sono utilizzati per attività di
social scoring o profilazione discriminatoria degli utenti. Ogni processo decisionale critico è
sempre soggetto a supervisione umana (HITL - Human-in-the-loop). L'utente ha in ogni
momento il diritto di richiedere l'escalation immediata a un operatore umano.
• Uso limitato dei dati: i dati dei Clienti e le eventuali interazioni vocali non sono utilizzati per
finalità ulteriori incompatibili con il servizio e, salvo diversa indicazione espressa, non sono
ceduti a terzi per l'addestramento di modelli esterni.
• Controllo umano: per le funzionalità rilevanti, il servizio è progettato per consentire
escalation, verifica o intervento umano secondo il contesto operativo.
Maxisoft® adotterà inoltre, a decorrere dalla relativa applicabilità, le pertinenti misure di trasparenza
previste dal Regolamento (UE) 2024/1689.
Roadmap delle fasi di completamento nell'applicazione del Regolamento AI Act:
Il Regolamento (UE) 2024/1689 (AI Act) dopo l'entrata in vigore ufficiale del 1 agosto 2024, prevede un
progressivo completamento della sua applicazione:
• 2 agosto 2026: Applicazione obblighi di trasparenza (art. 50-52) per sistemi IA a rischio limitato
(chatbot, agenti vocali, sistemi di raccomandazione)
• 2 agosto 2027: Piena applicazione per sistemi ad alto rischio (es. dispositivi medici, giocattoli)
SmartGarage.biz classifica i propri sistemi di IA come sistemi a rischio minimo o, ove applicabile, a
rischio limitato soggetti agli obblighi di trasparenza di cui agli articoli 50-52 dell'AI Act.
Nessun sistema di IA utilizzato in SmartGarage.biz è classificato come "sistema ad alto rischio"
ai sensi dell'Allegato III del Regolamento AI. I sistemi implementati sono esclusivamente:
• Chatbot e assistenti virtuali per supporto tecnico
• Agenti vocali per gestione richieste commerciali
• Sistemi di raccomandazione e suggerimenti operativi (non vincolanti)
Tutti questi sistemi sono progettati con supervisione umana (human-in-the-loop) e non producono
decisioni automatizzate con effetti giuridici ai sensi dell'art. 22 GDPR.
Cybersecurity e resilienza operativa
Approccio di cyber risk management basato sul rischio
Per supportare continuità operativa, sicurezza del servizio e protezione dei dati trattati, Maxisoft®
adotta misure tecniche e organizzative basate sul rischio, tenendo conto del quadro normativo
europeo e nazionale applicabile in materia di cybersicurezza e della natura del servizio erogato.
• Business Continuity: procedure di backup, ripristino e continuità operativa proporzionate
all'architettura del servizio e periodicamente riesaminate.
• Supply Chain Security: selezione e gestione dei fornitori secondo criteri di affidabilità,
sicurezza, continuità del servizio e coerenza con i requisiti tecnici e organizzativi applicabili
• Incident Response: procedure di gestione degli incidenti e delle violazioni dei dati personali
orientate a rilevazione, contenimento, analisi e comunicazione tempestiva al Cliente nei casi
previsti dalla documentazione contrattuale e privacy applicabile.
Resta inteso che i riferimenti alla Direttiva (UE) 2022/2555 (NIS2) come attuata dal D.Lgs. 138/2024
descrivono il framework di riferimento adottato per la gestione della sicurezza e non costituiscono
dichiarazione di qualifica automatica di Maxisoft® quale soggetto essenziale o importante ai sensi
della NIS2, salvo diversa comunicazione ufficiale separata.
L'adozione delle misure di cyber risk management e sicurezza operativa prevede, tra l'altro:
• controllo degli accessi e gestione delle credenziali;
• logging tecnico e tracciabilità degli eventi rilevanti;
• cifratura durante il transito e cifratura a riposo (at-rest);
• protezione dell'infrastruttura e monitoraggio dei sistemi;
• backup, ripristino e continuità operativa;
• gestione degli incidenti di sicurezza;
• governo dei fornitori e sicurezza della supply chain;
• misure organizzative interne, ruoli e responsabilità.
La sicurezza del servizio è affrontata con un approccio proporzionato al rischio, orientato alla
resilienza operativa e alla protezione dei dati trattati nel servizio.
Ruoli e responsabilità
Il Cliente mantiene il controllo delle finalità, della base giuridica e della liceità dei trattamenti svolti
per la propria attività attraverso la piattaforma SmartGarage.biz. Maxisoft® mette a disposizione un
impianto contrattuale, documentale e tecnico volto a supportare il Cliente nella gestione corretta del
servizio e dei dati trattati.
Quando Maxisoft® tratta dati personali per conto del Cliente, opera nei limiti delle istruzioni
documentate ricevute e secondo quanto previsto dal DPA e dalla documentazione contrattuale
applicabile.
La sicurezza di SmartGarage.biz si basa su un modello di Responsabilità Condivisa: Maxisoft®
garantisce la sicurezza dell'infrastruttura e dell'applicazione (Security 'of' the Cloud), mentre il Cliente
è responsabile della gestione sicura delle proprie credenziali, della configurazione dei permessi dei
propri dipendenti e della liceità dei dati inseriti (Security 'in' the Cloud).
Modello di responsabilità condivisa
Maxisoft® garantisce la sicurezza dell'infrastruttura e dell'applicazione (Security of the Cloud). Il
Cliente è responsabile della gestione sicura delle proprie credenziali, della corretta configurazione dei
permessi degli utenti autorizzati e della liceità dei dati inseriti nella piattaforma (Security in the Cloud).
Sub-responsabili del trattamento (Art. 28 GDPR)
Per l'erogazione del servizio SmartGarage.biz, Maxisoft® si avvale di fornitori terzi specializzati che
possono accedere ai dati trattati per conto del Cliente. Tutti i sub-responsabili sono vincolati
contrattualmente agli stessi obblighi di sicurezza, riservatezza e protezione dati previsti nel DPA
sottoscritto dal Cliente.
Principali categorie di sub-responsabili:
• Hosting e infrastruttura cloud: data center certificati con sede in Italia/UE
• Backup e disaster recovery: sistemi geograficamente ridondati
• Servizi di comunicazione: provider email transazionali e gateway SMS
• Servizi di pagamento: gestori pagamenti online certificati PCI-DSS
• Supporto tecnico e ticketing: piattaforme per gestione assistenza clienti
Trasferimenti extra-UE: Alcuni sub-responsabili possono trattare dati in Paesi terzi (es. Stati Uniti). In
tali casi, Maxisoft® adotta garanzie appropriate ai sensi degli artt. 44-49 GDPR:
• EU-U.S. Data Privacy Framework (per fornitori USA certificati DPF)
• Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
• Transfer Impact Assessment (TIA) per valutare adeguatezza delle garanzie
Elenco nominativo completo: L'elenco dettagliato e aggiornato dei sub-responsabili, con indicazione
della funzione svolta, della localizzazione geografica e della base giuridica per eventuali trasferimenti
extra-UE, è disponibile:
• Nell'Allegato 3 del DPA (Data Processing Agreement)
• Nell'Area Clienti SmartGarage.biz, sezione "Privacy & Security"
• Su richiesta scritta a privacy@maxisoft.it
Procedura di modifica: Ogni aggiunta o sostituzione di sub-responsabili è comunicata al Cliente con
30 giorni di preavviso, garantendo il diritto di opposizione per motivi ragionevoli connessi alla
protezione dei dati, come previsto dall'art. 10 del DPA.
Trasparenza documentale
Per garantire chiarezza e verificabilità, SmartGarage.biz rende disponibili documenti distinti per
ciascun ambito:
• Politica di privacy online;
• Privacy Area Clienti e Piattaforma SmartGarage.biz;
• DPA / Nomina a Responsabile del trattamento;
• Termini e Condizioni SaaS;
• Cookie Policy;
• Note legali e Politica per la Qualità;
• eventuale documentazione tecnica, di sicurezza o contrattuale aggiuntiva applicabile al piano
acquistato.
Certificazioni e Standard di Qualità
Maxisoft® opera secondo standard certificati e riconosciuti internazionalmente.
Certificazione ISO 9001 da oltre 20 anni
• ISO 9001:2015 - Sistema di Gestione per la Qualità
Certificato IMQ/Accredia n. 9150.MXSF
(certificazione in corso di validità attiva da oltre 20 anni, con prima emissione in data 07-03-
2006, periodicamente rinnovata e sottoposta ad audit di verifica annuale e rinnovo triennale)
Ambito: Progettazione, sviluppo e assistenza di sistemi software
Ente certificatore: IMQ (organismo accreditato Accredia)
La certificazione ISO 9001:2015 attesta la conformità dei processi di gestione della qualità e non
costituisce certificazione di sicurezza informatica (es. ISO/IEC 27001) o di conformità specifica al
GDPR, NIS2 o AI Act.
Nota finale
Le misure tecniche, organizzative e contrattuali applicabili possono variare in funzione del piano
sottoscritto, delle funzionalità attivate, dell'architettura del servizio, dei fornitori utilizzati e
dell'evoluzione normativa e tecnica.
La presente pagina ha finalità esclusivamente descrittiva e informativa e non sostituisce né prevale, in
caso di contrasto, sui Termini e Condizioni SaaS, sul DPA, sulle informative privacy, sulla Cookie Policy
e sull'eventuale documentazione tecnica o contrattuale specificamente richiamata.
Ultimo aggiornamento: 01/04/2026 - versione 1.0