Informativa sulla Privacy

Ultimo aggiornamento: 4 maggio 2026 · Conforme al Regolamento (UE) 2016/679 (GDPR)

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è La Tua Azienda, P.IVA [da configurare], con sede in [indirizzo da configurare]. Per qualsiasi questione relativa alla privacy puoi scrivere a [email da configurare].

2. Quali dati raccogliamo

Quando usi GestFatture trattiamo le seguenti categorie di dati:

• Dati di account: username, email, numero di telefono (per WhatsApp), password (memorizzata in forma irreversibile tramite hashing).
• Dati commerciali: anagrafica clienti (nome, P.IVA, indirizzo, email, PEC, telefono), fatture emesse e ricevute, importi, scadenze, stato dei pagamenti, allegati PDF.
• Comunicazioni di servizio: ticket di assistenza e relativi messaggi.
• Email PEC istituzionali: messaggi ricevuti da AdE/INPS/INAIL e relativi metadati e allegati, se attivi l'integrazione.
• Credenziali integrazioni: token OAuth (Fatture in Cloud), credenziali IMAP della tua casella PEC, API key WhatsApp/CallMeBot — tutti memorizzati nel database e usati solo per le funzionalità che hai attivato.
• Dati tecnici: indirizzo IP, user-agent del browser, timestamp delle azioni, registrati nel log di sicurezza dell'applicazione.

3. Finalità e basi giuridiche

I dati sono trattati per le seguenti finalità:

• Erogazione del servizio (art. 6.1.b GDPR — esecuzione del contratto): gestione fatture, invio solleciti, integrazioni con terze parti, supporto utente.
• Sicurezza dell'applicazione (art. 6.1.f — legittimo interesse): log di accessi, audit delle azioni sensibili, prevenzione abusi.
• Adempimenti di legge (art. 6.1.c): conservazione dei dati fiscali secondo i termini previsti dalla normativa italiana.

4. Conservazione dei dati

• Dati di account e commerciali: per tutta la durata del rapporto, e successivamente per il tempo richiesto dalla normativa fiscale italiana (di norma 10 anni).
• Log di sicurezza (audit log): 12 mesi.
• Backup automatici: snapshot giornalieri, conservati per 7 giorni.
• Account ospite: cancellato automaticamente al logout o alla chiusura della sessione.

5. Soggetti terzi (responsabili del trattamento)

Per fornire il servizio condividiamo alcuni dati con i seguenti fornitori, designati come responsabili esterni del trattamento ai sensi dell'art. 28 GDPR:

• Render.com — hosting dell'applicazione e dei dati (server in UE, dati trasferiti negli USA tramite Standard Contractual Clauses).
• Anthropic, PBC — analisi via Claude API delle PEC istituzionali e chat di assistenza (server USA, base giuridica: SCC).
• Provider SMTP (Gmail/Resend) — invio dei solleciti email ai tuoi clienti.
• Stripe Inc. / PayPal — solo i metadati delle notifiche di pagamento (webhook), nessun dato di carta di credito è gestito da GestFatture.
• Fatture in Cloud (TeamSystem) — solo se attivi l'integrazione, riceviamo i dati delle tue fatture tramite API.
• CallMeBot — invio notifiche WhatsApp al titolare (solo numero di telefono e testo del messaggio).

6. Trasferimenti extra-UE

I trasferimenti verso fornitori con sede negli Stati Uniti (Anthropic, Render, Stripe, PayPal) avvengono sulla base delle Standard Contractual Clauses approvate dalla Commissione Europea, che garantiscono un livello di protezione adeguato.

7. I tuoi diritti

Ai sensi degli articoli 15–22 del GDPR, hai il diritto di:

• Accesso (art. 15): conoscere quali dati personali trattiamo.
• Rettifica (art. 16): correggere dati inesatti o incompleti.
• Cancellazione (art. 17, "diritto all'oblio"): chiedere la cancellazione dei dati.
• Limitazione del trattamento (art. 18).
• Portabilità (art. 20): ricevere i tuoi dati in formato strutturato e leggibile da un computer.
• Opposizione (art. 21).
• Reclamo al Garante per la Protezione dei Dati Personali.

Per esercitare i diritti di accesso, portabilità e cancellazione direttamente, vai su Impostazioni → I tuoi dati personali dentro l'app: troverai un download in ZIP di tutti i tuoi dati e un pulsante per cancellare l'account. Per gli altri diritti puoi scriverci all'indirizzo indicato sopra.

8. Cookie

GestFatture utilizza esclusivamente cookie tecnici di sessione, necessari per mantenere l'utente autenticato e per la protezione contro attacchi CSRF. Non utilizziamo cookie di profilazione, di tracciamento o di terze parti pubblicitarie.

9. Sicurezza

Adottiamo misure tecniche e organizzative ragionevoli per proteggere i tuoi dati:

• Connessioni cifrate (HTTPS / TLS) tra il tuo browser e i nostri server.
• Password memorizzate solo come hash crittografico (mai in chiaro).
• Cookie di sessione con flag HttpOnly, Secure, SameSite.
• Protezione anti-CSRF su tutte le operazioni di modifica.
• Rate limiting sugli endpoint sensibili.
• Audit log delle azioni sensibili.
• Backup automatici giornalieri.

10. Modifiche alla policy

Possiamo aggiornare questa informativa per riflettere modifiche normative o del servizio. In caso di modifiche sostanziali ti avviseremo via email o tramite avviso nell'app. La versione più aggiornata è sempre disponibile a questa pagina.