Informativa sulla Privacy
Ultimo aggiornamento: 10/04/2026
Avviso importante
La presente Informativa sulla Privacy descrive le modalità con cui vengono trattati i dati personali nell’ambito dell’accesso all’applicazione, della gestione dell’account, degli spazi aziendali, dell’autenticazione, dei log tecnici, dei cookie e delle comunicazioni automatiche di servizio.
Questo documento deve essere completato con i dati reali del Titolare del trattamento e verificato da un professionista legale prima della pubblicazione in produzione.
1. Titolare del trattamento
Il Titolare del trattamento è [NOME AZIENDA / PERSONA FISICA], con sede in [INDIRIZZO COMPLETO], P.IVA / Codice Fiscale [P.IVA / CODICE FISCALE], e-mail di contatto [EMAIL DI CONTATTO].
Per qualsiasi richiesta relativa alla privacy o al trattamento dei dati personali, gli utenti possono scrivere a: [EMAIL PRIVACY / DPO].
2. Dati personali trattati
A seconda delle modalità di utilizzo dell’applicazione, possono essere trattate le seguenti categorie di dati personali:
- Dati di account, come nome, indirizzo e-mail, password cifrata ed eventuale immagine del profilo
- Dati relativi alle aziende, come nome dell’azienda, appartenenze dell’utente, ruolo interno e permessi assegnati
- Dati di autenticazione e sicurezza, inclusi sessioni attive, timestamp di accesso, token API e log relativi alla sicurezza
- Dati ricevuti tramite login social da Google o Facebook, come identificativo del provider, nome, indirizzo e-mail ed eventuale immagine del profilo
- Dati tecnici di log, come indirizzo IP, user agent, URL richiesto, timestamp e informazioni diagnostiche sugli errori
- Dati relativi alle e-mail automatiche di servizio inviate tramite infrastruttura SMTP
L’applicazione non è destinata al trattamento di categorie particolari di dati personali, salvo il caso in cui tali dati vengano inseriti volontariamente dagli utenti nei contenuti gestiti nel sistema.
3. Finalità e basi giuridiche
I dati personali possono essere trattati per le seguenti finalità:
Creazione dell’account e utilizzo dell’applicazione
Per consentire agli utenti di registrarsi, autenticarsi, gestire il proprio account, accedere agli spazi aziendali, usare le funzionalità dell’applicazione e interagire con le risorse disponibili in base ai permessi assegnati.
Base giuridica: esecuzione di un contratto o misure precontrattuali ai sensi dell’articolo 6, paragrafo 1, lettera b) del GDPR.
Gestione di ruoli, appartenenze e permessi
Per associare gli utenti a una o più aziende, definire ruoli, assegnare permessi e applicare regole di controllo degli accessi all’interno dell’applicazione.
Base giuridica: esecuzione di un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b) del GDPR e interesse legittimo ai sensi dell’articolo 6, paragrafo 1, lettera f) del GDPR per ragioni di sicurezza e organizzazione interna.
Sicurezza tecnica e prevenzione degli abusi
Per proteggere la piattaforma, rilevare anomalie, analizzare errori, prevenire utilizzi impropri e mantenere affidabile il servizio.
Base giuridica: interesse legittimo ai sensi dell’articolo 6, paragrafo 1, lettera f) del GDPR.
Invio di e-mail automatiche di servizio
Per inviare e-mail di verifica account, reset password, inviti, notifiche di sicurezza e altre comunicazioni operative.
Base giuridica: esecuzione di un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b) del GDPR e interesse legittimo ai sensi dell’articolo 6, paragrafo 1, lettera f) del GDPR.
Login social
Per autenticare l’utente tramite Google o Facebook, quando l’utente sceglie volontariamente tale modalità di accesso.
Base giuridica: esecuzione di un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b) del GDPR.
Adempimenti di legge
Per adempiere a obblighi legali, fiscali, amministrativi o giudiziari.
Base giuridica: adempimento di un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c) del GDPR.
Cookie opzionali o futuri strumenti di analisi
Qualora vengano attivati cookie opzionali o strumenti di analytics non essenziali, questi saranno utilizzati solo dove richiesto e solo previo consenso valido.
Base giuridica: consenso ai sensi dell’articolo 6, paragrafo 1, lettera a) del GDPR.
4. Login social
Gli utenti possono accedere tramite Google o Facebook. In tal caso, l’applicazione riceve solo i dati necessari a identificare l’utente e creare o collegare l’account locale, sulla base dei permessi concessi al provider.
Google e Facebook operano come titolari autonomi per i trattamenti effettuati attraverso le rispettive piattaforme, inclusi i propri cookie e la propria infrastruttura di autenticazione.
Gli utenti dovrebbero consultare anche le informative privacy dei rispettivi provider:
5. E-mail e consegna SMTP
L’applicazione può inviare e-mail automatiche di servizio, come:
- e-mail di verifica account
- e-mail di reimpostazione password
- inviti
- avvisi di sicurezza
- notifiche operative relative all’account o allo spazio aziendale
Queste e-mail vengono inviate tramite infrastruttura SMTP configurata o tramite un provider equivalente di e-mail transazionali.
Il trattamento può includere:
- indirizzo e-mail del destinatario
- metadati di consegna
- timestamp di invio
- esito della consegna o dell’errore
Tale trattamento è limitato a quanto necessario per il funzionamento del servizio, il supporto tecnico e la sicurezza.
6. Log tecnici e log viewer
L’applicazione mantiene log tecnici e diagnostici per garantire la stabilità del sistema, rilevare errori, analizzare anomalie e proteggere la piattaforma da usi impropri o accessi non autorizzati.
Se è attivo un log viewer, l’accesso ai contenuti dei log deve essere limitato esclusivamente al personale autorizzato.
I log possono contenere dati tecnici e di sicurezza, come:
- indirizzo IP
- percorso o URL richiesto
- timestamp
- browser / user agent
- messaggi di errore
- identificativo dell’utente autenticato, ove applicabile
I log devono essere configurati in modo da evitare l’esposizione non necessaria di contenuti riservati o di dati personali eccedenti.
7. Destinatari dei dati
I dati personali possono essere trattati da:
- personale interno autorizzato
- amministratori e operatori tecnici incaricati della manutenzione dell’applicazione
- fornitori terzi coinvolti nell’hosting, nella gestione dell’infrastruttura, nella consegna SMTP, nei servizi di autenticazione, nel monitoraggio della sicurezza e nella manutenzione
Ove necessario, tali soggetti operano come Responsabili del trattamento ai sensi dell’articolo 28 del GDPR e sono vincolati da adeguate garanzie contrattuali.
8. Trasferimenti internazionali
Se uno dei fornitori coinvolti nell’hosting, nell’invio e-mail, nell’autenticazione o nell’infrastruttura si trova al di fuori dello Spazio Economico Europeo, i dati personali potranno essere trasferiti all’esterno del SEE solo nel rispetto degli articoli 44 e seguenti del GDPR, mediante garanzie adeguate, come decisioni di adeguatezza o Clausole Contrattuali Standard.
9. Periodo di conservazione
I dati personali sono conservati solo per il tempo necessario alle finalità sopra descritte.
In particolare:
- i dati di account e azienda sono conservati per la durata del rapporto di servizio e per l’eventuale periodo ulteriore richiesto dalla legge o da esigenze di difesa
- i log tecnici e di sicurezza sono conservati solo per il periodo strettamente necessario a manutenzione, audit e sicurezza, secondo le regole interne di conservazione
- le preferenze sui cookie sono conservate per la durata configurata nel cookie di consenso
- i metadati delle e-mail di servizio possono essere conservati per il tempo necessario a verificare la consegna, fornire supporto e documentare le operazioni tecniche
Al termine del periodo applicabile, i dati personali saranno cancellati o anonimizzati, salvo che un’ulteriore conservazione sia richiesta dalla legge.
10. Diritti dell’utente
Ai sensi del GDPR, gli utenti possono avere il diritto di:
- accedere ai propri dati personali
- richiedere la rettifica dei dati inesatti
- richiedere la cancellazione dei dati personali
- richiedere la limitazione del trattamento
- opporsi al trattamento, ove applicabile
- ricevere i dati in formato portabile, ove applicabile
- revocare in qualsiasi momento il consenso prestato per trattamenti opzionali
Le richieste possono essere inviate a: [EMAIL PRIVACY].
Gli utenti hanno inoltre il diritto di proporre reclamo all’Autorità di controllo competente.
11. Cookie
L’applicazione utilizza cookie essenziali necessari per la gestione della sessione, l’autenticazione, la protezione CSRF e le preferenze tecniche.
A titolo esemplificativo, possono essere utilizzati:
| Cookie | Finalità | Tipo |
|---|---|---|
XSRF-TOKEN |
Protezione CSRF | Essenziale |
laravel_session / app_session |
Gestione della sessione autenticata | Essenziale |
remember_web_* |
Accesso persistente se è attiva l’opzione “ricordami” | Essenziale |
app_cookie_consent |
Memorizza la scelta dell’utente sui cookie | Essenziale / registrazione preferenza |
Se l’utente sceglie il login social, Google o Facebook possono impostare propri cookie sotto la loro responsabilità autonoma.
Eventuali cookie opzionali aggiuntivi saranno attivati solo se esplicitamente abilitati in futuro e, ove richiesto, solo dopo valido consenso.
12. Modifiche alla presente Informativa
La presente Informativa sulla Privacy può essere aggiornata periodicamente per riflettere modifiche legali, tecniche o organizzative.
Eventuali aggiornamenti sostanziali potranno essere comunicati tramite l’applicazione o con altri mezzi appropriati.