Privacy Policy

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è:

• Ragione sociale: [INSERIRE RAGIONE SOCIALE]
• Sede legale: [INSERIRE INDIRIZZO COMPLETO]
• Partita IVA: IT11695091006
• Email: [INSERIRE EMAIL PRIVACY]
• PEC: [INSERIRE EMAIL PEC]

Per qualsiasi comunicazione relativa al trattamento dei tuoi dati personali, puoi scrivere all'indirizzo email indicato sopra.

2. Categorie di dati raccolti

2.1 Dati di registrazione e account

• Indirizzo email (obbligatorio per la registrazione)
• Nome visualizzato / display name
• Password (conservata in forma cifrata, mai accessibile in chiaro)

2.2 Dati relativi agli acquisti

• Dati dell'ordine (prodotto acquistato, importo, stato pagamento)
• Identificativo sessione Stripe (i dati della carta non transitano sui nostri server)
• Eventuale Partita IVA o codice fiscale per fatturazione (su richiesta)

2.3 Dati tecnici relativi all'uso del servizio

• Dati struttura inseriti nel wizard (codice azienda, codice struttura, CF, tipologia certificato, ambiente) — conservati per erogare il servizio
• Certificati pubblici (.crt) caricati per rinnovo automatico — non vengono salvati in forma permanente oltre il tempo della sessione
• Log tecnici di accesso (IP, timestamp, user agent) — conservati per sicurezza

2.4 Dati NON raccolti

• Chiavi private (.key): generate esclusivamente nel browser dell'utente tramite WebCrypto API e mai trasmesse ai server
• File .p12 / .pfx: non vengono mai caricati sui server
• Dati sanitari del paziente

2.5 Dati di navigazione e cookie

Vedere la Cookie Policy per il dettaglio.

3. Finalità e basi giuridiche del trattamento

• Erogazione del servizio acquistato (base: esecuzione del contratto, art. 6(1)(b) GDPR)
• Gestione dell'account e autenticazione (base: esecuzione del contratto)
• Adempimenti fiscali e contabili (base: obbligo legale, art. 6(1)(c) GDPR)
• Sicurezza informatica e prevenzione frodi (base: legittimo interesse, art. 6(1)(f) GDPR)
• Comunicazioni transazionali (conferma ordine, ricevute, avvisi scadenza) (base: esecuzione del contratto)
• Cookie analitici e di preferenza (base: consenso, art. 6(1)(a) GDPR — solo se fornito)
• Marketing e newsletter (base: consenso — solo se esplicitamente fornito tramite opt-in)

4. Modalità di trattamento

I dati vengono trattati con strumenti elettronici, nel rispetto delle misure di sicurezza previste dal GDPR (cifratura in transito TLS, cifratura at rest, controllo degli accessi, separazione dei dati per tenant). Il trattamento è effettuato da personale autorizzato e, limitatamente a specifiche funzioni, da fornitori di servizi (responsabili del trattamento) adeguatamente istruiti.

5. Tempi di conservazione

• Dati account: fino alla cancellazione dell'account o, in assenza di attività, per un massimo di 5 anni dall'ultimo accesso
• Dati ordini e fatture: 10 anni (obbligo fiscale)
• Log tecnici: 12 mesi
• Dati wizard / certificati pubblici: per la durata della sessione e fino a 30 giorni dopo l'ultimo utilizzo del servizio associato
• Consensi cookie: 12 mesi

6. Destinatari e responsabili del trattamento

I tuoi dati possono essere comunicati a:

• Supabase Inc. — autenticazione, database e storage (cloud infrastruttura, USA). Dati trasferiti con garanzie adeguate (Data Processing Addendum, Standard Contractual Clauses).
• Stripe Inc. — gestione pagamenti. Stripe è un responsabile del trattamento con proprie certificazioni PCI-DSS. I dati della carta non transitano sui nostri server.
• Vercel Inc. — hosting e infrastruttura web. Trattamento nei data center europei ove disponibile.
• Commercialista / consulente fiscale — per adempimenti contabili e fiscali, nei limiti di quanto necessario.

Non cediamo, vendiamo o trasferiamo dati personali a terzi per finalità di marketing senza consenso esplicito.

7. Trasferimenti extra-UE

Alcuni dei fornitori citati (Supabase, Stripe, Vercel) hanno sede negli Stati Uniti. I trasferimenti di dati verso paesi terzi avvengono nel rispetto delle garanzie previste dagli artt. 44–49 GDPR, tramite Standard Contractual Clauses (SCC) adottate dalla Commissione Europea o meccanismi equivalenti. Puoi richiedere informazioni dettagliate sui meccanismi di trasferimento scrivendo all'indirizzo privacy indicato.

8. Diritti dell'interessato

Hai il diritto di:

• Accedere ai tuoi dati personali (art. 15 GDPR)
• Rettificare dati inesatti o incompleti (art. 16)
• Richiedere la cancellazione ("diritto all'oblio", art. 17)
• Limitare il trattamento (art. 18)
• Portabilità dei dati (art. 20)
• Opporti al trattamento basato su legittimo interesse (art. 21)
• Revocare il consenso in qualsiasi momento, senza pregiudizio per il trattamento precedente (art. 7(3))
• Proporre reclamo all'Autorità Garante per la protezione dei dati personali (Garante Privacy, garanteprivacy.it)

Per esercitare i tuoi diritti, scrivi a [INSERIRE EMAIL PRIVACY]. Risponderemo entro 30 giorni dalla ricezione della richiesta.

9. Pagamenti online

I pagamenti sono gestiti da Stripe Inc. I dati della carta di credito/debito vengono inseriti direttamente nell'interfaccia sicura di Stripe e non transitano né vengono memorizzati sui nostri server. Stripe è certificato PCI-DSS di livello 1. Per la privacy policy di Stripe, consulta stripe.com/privacy.

10. Log tecnici e sicurezza

I sistemi di autenticazione e infrastruttura registrano log tecnici (IP di accesso, timestamp, user agent) per finalità di sicurezza informatica, prevenzione accessi non autorizzati e debug. Tali log sono conservati per 12 mesi e non vengono utilizzati per profilazione commerciale.

11. Cookie

Per il dettaglio sui cookie utilizzati, le relative finalità e le modalità per gestire il consenso, consulta la nostra Cookie Policy.

12. Modifiche alla Privacy Policy

Ci riserviamo il diritto di aggiornare questa Privacy Policy in caso di modifiche normative o organizzative. Le modifiche sostanziali saranno comunicate agli utenti registrati via email con ragionevole anticipo. La versione aggiornata è sempre disponibile a questa pagina con la data di ultimo aggiornamento.