Privacy Policy

La presente informativa descrive le modalità con cui [Nome Società] (di seguito "Titolare" o "noi") tratta i dati personali degli utenti di il Servizio, in conformità al Regolamento (UE) 2016/679 (GDPR), al D.lgs. 196/2003 (Codice Privacy) e al D.lgs. 101/2018.

1. Titolare del trattamento

Il Titolare del trattamento è [Nome Società], con sede legale in [Indirizzo sede legale], [Città], P.IVA [P.IVA].

Per esercitare i diritti GDPR o richiedere informazioni, scrivere a privacy@[dominio.it].

2. Tipologie di dati trattati

Raccogliamo e trattiamo le seguenti categorie di dati personali:

Dati di registrazione: nome, cognome, email aziendale, password (memorizzata in forma cifrata), ragione sociale, P.IVA.
Dati di pagamento: i pagamenti sono gestiti tramite Stripe Inc. Il Titolare NON memorizza dati di carte di credito; riceve solo conferma transazione e ultimi 4 numeri della carta per identificazione.
Dati operativi inseriti dall'utente: anagrafiche dei tuoi clienti, lead, comunicazioni, preventivi, contratti, documenti caricati. Sono dati di proprietà dell'utente; il Titolare agisce come Responsabile del trattamento (Art. 28 GDPR) per conto dell'utente che è il Titolare del trattamento dei propri clienti.
Dati di utilizzo: log accessi, IP address (anonimizzati dopo 30gg), pagine visitate, tempi di sessione. Usati per sicurezza e ottimizzazione del servizio.
Cookies: cookies tecnici (sempre attivi), statistici (con consenso), marketing (con consenso). Vedi Cookie Policy in fondo a questa pagina.
Comunicazioni con il supporto: email, ticket, chat con il team.

3. Finalità e base giuridica

Finalità	Base giuridica (Art. 6 GDPR)
Erogazione del servizio CRM	Esecuzione del contratto (lett. b)
Fatturazione e adempimenti fiscali	Obbligo legale (lett. c)
Supporto clienti	Esecuzione del contratto (lett. b)
Sicurezza, prevenzione frodi	Legittimo interesse (lett. f)
Comunicazioni di servizio (notifiche, update)	Esecuzione del contratto (lett. b)
Marketing diretto (newsletter prodotto)	Consenso espresso (lett. a) — revocabile
Statistiche aggregate anonime	Legittimo interesse (lett. f)

4. Periodo di conservazione

Dati account attivo: per tutta la durata del rapporto contrattuale.
Dati account chiuso: soft-delete entro 30 giorni, cancellazione permanente entro 90 giorni dalla richiesta.
Dati fiscali e fatture: 10 anni (Art. 2220 c.c.).
Log accessi: 6 mesi (Provvedimento Garante 27/11/2008).
Backup: 7 giorni (rolling), poi sovrascritti.
Newsletter marketing: fino a revoca del consenso.

5. Destinatari dei dati (Responsabili Esterni)

I dati possono essere comunicati ai seguenti soggetti che agiscono come Responsabili esterni del trattamento (Art. 28 GDPR), nominati con apposito DPA:

Supabase Inc. (USA) — hosting database. Trasferimento basato su SCC + DPF.
Vercel Inc. (USA) — hosting applicativo. SCC + DPF.
Stripe, Inc. (USA/IE) — gateway pagamenti. SCC + DPF.
Resend, Inc. (USA) — invio email transazionali. SCC.
Google LLC (USA) — Workspace/Calendar OAuth se attivato. SCC + DPF.
Anthropic PBC e OpenAI, L.L.C. (USA) — servizi AI. SCC + DPF.
Sentry GmbH (Germania) — error monitoring. UE.

I dati operativi NON sono mai venduti, ceduti o comunicati a terzi per finalità di marketing di soggetti esterni.

6. Trasferimenti extra-UE

Alcuni fornitori sopra elencati hanno server negli Stati Uniti. Il trasferimento avviene sulla base delle Standard Contractual Clauses (SCC) approvate dalla Commissione UE (Decisione 2021/914) e, ove applicabile, sotto il EU-US Data Privacy Framework. Garantiamo il rispetto degli standard GDPR per tutti i dati trasferiti.

7. I tuoi diritti (Art. 15-22 GDPR)

Hai il diritto di:

Accesso (Art. 15): ottenere conferma del trattamento e copia dei tuoi dati.
Rettifica (Art. 16): correggere dati inesatti.
Cancellazione (Art. 17): "diritto all'oblio" nei limiti normativi.
Limitazione (Art. 18): sospendere il trattamento.
Portabilità (Art. 20): ricevere i tuoi dati in formato strutturato (JSON/CSV).
Opposizione (Art. 21): opporsi al trattamento per legittimo interesse o marketing.
Reclamo: al Garante per la Protezione dei Dati Personali (www.gpdp.it).

Per esercitare i diritti scrivi a privacy@[dominio.it]. Rispondiamo entro 30 giorni (Art. 12 GDPR).

8. Sicurezza dei dati

Adottiamo misure tecniche e organizzative adeguate (Art. 32 GDPR):

Cifratura TLS 1.3 in transito su tutte le comunicazioni.
Cifratura AES-256 a riposo sul database Supabase.
Password salvate solo come hash bcrypt.
Isolamento multi-tenant a livello database (Row Level Security PostgreSQL).
Backup automatici giornalieri con retention 7 giorni.
Accesso al sistema riservato a personale autorizzato con MFA.
Logging accessi e tentativi sospetti.
Vulnerability monitoring continuo.

9. Cookie Policy

Il sito utilizza le seguenti categorie di cookie:

Cookie tecnici (sempre attivi): necessari per autenticazione, sessione, preferenza tema. Esenti da consenso (Art. 122 D.lgs. 196/2003).
Cookie statistici (con consenso): aggregati e anonimizzati per comprendere come gli utenti usano il prodotto.
Cookie di marketing (con consenso): oggi non attivi, predisposti per future campagne di retargeting.

Puoi modificare le tue preferenze in qualsiasi momento tramite il pulsante 🍪 in basso a sinistra in ogni pagina.

10. Minori

Il Servizio non è destinato a minori di 16 anni. Non raccogliamo consapevolmente dati di minori. Se ritieni che un minore abbia fornito dati, scrivi a privacy@[dominio.it] per cancellazione immediata.

11. Modifiche alla presente informativa

Potremmo aggiornare questa Privacy Policy in qualsiasi momento. Le modifiche significative saranno notificate via email almeno 30 giorni prima dell'entrata in vigore. La versione aggiornata è sempre disponibile su questa pagina con data "Ultimo aggiornamento".

12. Contatti

Per qualsiasi domanda relativa al trattamento dei dati:
[Nome Società]
[Indirizzo sede legale], [Città]
Email Privacy: privacy@[dominio.it]
Email Supporto: supporto@[dominio.it]