Privacy Policy

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

Giovanni Paolo Tancredi
Con sede in Parma (Italia)
Email: info@tancreditech.com
Sito web: www.tancreditech.com

2. Dati Raccolti

Nell'ambito dell'utilizzo della piattaforma DESUTEA, raccogliamo e trattiamo le seguenti categorie di dati personali:

2.1 Dati di registrazione e autenticazione

• Email, nome e cognome (se forniti tramite registrazione diretta o OAuth)
• Provider di autenticazione utilizzato (Google, Microsoft Entra ID, LinkedIn, Apple, GitHub)
• Token di sessione e token di aggiornamento OAuth
• Password (memorizzata esclusivamente in forma di hash bcrypt, mai in chiaro)
• Codici MFA: segreti TOTP crittografati con AES-256-GCM e codici di recupero (hash bcrypt)
• Immagine del profilo (se fornita dal provider OAuth)

2.2 Dati di utilizzo della piattaforma

• Progetti creati, modificati e archiviati
• Scenari di analisi e relative configurazioni (CAPEX, OPEX, Ricavi, Cashflow)
• Simulazioni Monte Carlo e analisi di sensitività eseguite
• Esportazioni effettuate (PDF, Excel, CSV)
• Cronologia delle versioni dei progetti (snapshot automatici)
• Preferenze utente: lingua, tema, formattazione numerica, densità interfaccia

2.3 Dati tecnici e di sicurezza

• Indirizzo IP
• Tipo di dispositivo, browser e sistema operativo
• Timestamp di accesso e attività
• Log di audit completi: login, logout, tentativi falliti, modifiche MFA, esportazioni, modifiche a progetti e account
• Dati di sessione: dispositivo, IP, attività, stato di revoca

2.4 Dati di fatturazione e abbonamento

• Tipo di piano (Trial, Professional, Academic/Enterprise)
• Periodo di fatturazione, date di inizio e scadenza del trial
• Identificativi del processore di pagamento (Paddle): ID cliente, ID abbonamento, ID prezzo
• Metriche di utilizzo: numero di progetti, scenari, esportazioni, simulazioni

2.5 Dati organizzativi (per piani Team/Academic)

• Nome dell'organizzazione, ruolo del membro (Owner, Admin, Editor, Viewer)
• Email di invito e token di invito
• Per istituzioni accademiche: tier accademico, date di scadenza degli studenti

3. Finalità del Trattamento

I dati personali vengono trattati per le seguenti finalità:

• Erogazione del Servizio: Fornitura del servizio di analisi di fattibilità economico-finanziaria
• Autenticazione e Sicurezza: Registrazione, autenticazione (inclusa MFA) e gestione dell'account utente
• Gestione Progetti: Salvataggio, sincronizzazione e versionamento dei progetti su database cloud
• Esportazione e Report: Generazione ed esportazione di report in formato PDF, Excel e CSV
• Fatturazione: Gestione degli abbonamenti, fatturazione e verifica dei limiti di piano
• Organizzazioni e Team: Gestione dei team, assegnazione ruoli e inviti membri
• Comunicazioni: Invio di e-mail transazionali: verifica account, reset password, inviti team
• Sicurezza e Monitoraggio: Monitoraggio errori, audit di sicurezza e logging delle attività
• Analisi e Miglioramento: Analisi aggregate e anonime per il miglioramento del servizio (solo previo consenso)
• Obblighi Legali: Adempimento di obblighi previsti dalla normativa applicabile

Il servizio non prevede attività di profilazione o decisioni automatizzate.

4. Base Giuridica del Trattamento

Il trattamento dei dati si basa sulle seguenti basi giuridiche ai sensi del GDPR:

• Esecuzione del contratto (Art. 6.1.b): Per la fornitura del servizio richiesto e la gestione dell'account
• Consenso (Art. 6.1.a): Per l'utilizzo di cookie non essenziali, analytics e comunicazioni marketing
• Interesse legittimo (Art. 6.1.f): Per sicurezza, prevenzione frodi, audit e miglioramento del servizio
• Obbligo legale (Art. 6.1.c): Per adempimento di obblighi fiscali, contabili e di conservazione dei dati

5. Conservazione dei Dati

I dati personali vengono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

• Dati account: Fino alla cancellazione dell'account da parte dell'utente
• Dati di progetto e versioni: Fino alla cancellazione da parte dell'utente; snapshot automatici conservati per un massimo di 60 giorni (max 30 versioni per progetto)
• Log di audit: 90 giorni dalla registrazione, con pulizia automatica settimanale
• Dati di backup: 30 giorni dopo la cancellazione dell'account o del dato
• Dati di sessione: Fino alla scadenza naturale della sessione (24 ore per sessione attiva)
• Dati di fatturazione: Secondo i termini contrattuali con Paddle e la normativa fiscale applicabile
• Token di invito: 7 giorni dalla creazione

6. Condivisione e Trasferimento dei Dati

I dati possono essere condivisi con fornitori di servizi che agiscono quali Responsabili del trattamento ai sensi dell'art. 28 GDPR, sulla base di specifici accordi contrattuali.

Per i trasferimenti di dati personali verso Paesi al di fuori dello Spazio Economico Europeo (quali Stati Uniti e Regno Unito), il Titolare si avvale delle Clausole Contrattuali Standard approvate dalla Commissione Europea e, ove applicabile, del Data Privacy Framework UE-USA.

7. Diritti dell'Interessato

Ai sensi del GDPR (Reg. UE 2016/679), hai diritto a:

• Accesso (Art. 15): Ottenere copia dei tuoi dati personali
• Rettifica (Art. 16): Correggere dati inesatti o incompleti
• Cancellazione (Art. 17): Richiedere l'eliminazione dei tuoi dati ("diritto all'oblio")
• Limitazione (Art. 18): Limitare il trattamento in specifiche circostanze
• Portabilità (Art. 20): Ricevere i tuoi dati in formato strutturato, di uso comune e leggibile da dispositivo automatico. La piattaforma prevede una funzione di esportazione completa dei dati personali in formato JSON.
• Opposizione (Art. 21): Opporti al trattamento basato sull'interesse legittimo
• Revoca del consenso: Revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento anteriore

Per esercitare questi diritti, contattaci a: info@tancreditech.com

La funzione di esportazione dati e cancellazione account è disponibile anche direttamente dalla sezione Impostazioni del tuo profilo sulla piattaforma.

8. Cookie

Utilizziamo cookie tecnici necessari per il funzionamento del servizio e cookie opzionali per preferenze e analisi. Per informazioni dettagliate, consulta la nostra Cookie Policy.

9. Misure di Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali:

• Crittografia HTTPS/TLS per tutte le comunicazioni (HSTS con max-age 2 anni)
• Crittografia AES-256-GCM per dati sensibili (segreti MFA)
• Hashing delle password con bcrypt (salted)
• Autenticazione Multi-Fattore (MFA) con TOTP e codici di recupero
• Gestione sessioni con timeout automatico e revoca multi-dispositivo
• Content Security Policy (CSP) rigorosa
• Protezione CSRF, XSS e SQL injection
• Rate limiting per prevenzione abusi (100 richieste/minuto)
• Headers di sicurezza: X-Frame-Options (DENY), X-Content-Type-Options, Referrer-Policy
• Disabilitazione di camera, microfono e geolocalizzazione tramite Permissions-Policy
• Database con accesso protetto e connection pooling
• Backup automatici regolari con retention di 30 giorni
• Audit log completo di tutte le operazioni critiche

10. Analytics e Monitoraggio

La piattaforma supporta servizi di analytics configurabili. L'attivazione degli analytics è subordinata al consenso esplicito dell'utente tramite il banner cookie. I dati analitici sono aggregati e anonimi. Il sistema rispetta l'impostazione "Do Not Track" (DNT) del browser dell'utente.

Utilizziamo Sentry per il monitoraggio degli errori tecnici, al fine di garantire la stabilità e la sicurezza del servizio. Sentry raccoglie esclusivamente dati tecnici relativi a errori (stack trace, contesto dell'errore) e non dati personali identificativi.

11. Modifiche alla Privacy Policy

Ci riserviamo il diritto di modificare questa Privacy Policy in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di aggiornamento. In caso di modifiche sostanziali, ne daremo comunicazione tramite email o notifica in-app.

12. Contatti e Reclami

Per domande sulla privacy, per esercitare i tuoi diritti o per presentare un reclamo:

Giovanni Paolo Tancredi
Email: info@tancreditech.com

Hai inoltre il diritto di presentare un reclamo all'Autorità Garante per la Protezione dei Dati Personali: www.garanteprivacy.it