INFORMATIVA PRIVACY AI SENSI DELL'ART. 13 DEL REGOLAMENTO UE 2016/679 (GDPR)

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che utilizzano il servizio di conversione di estratti conto bancari da PDF a CSV (di seguito "Servizio").

1. Titolare del Trattamento

Luca Di Domenico
Sede legale: Via Plauto 12, Pescara (PE)
Email: support@convertitoreestratticonto.com
P.IVA: 12704380018
PEC: luca_didomenico@pec.it

2. Tipologia di Dati Trattati

2.1 Dati di registrazione e autenticazione:

• Dati identificativi (nome, cognome, indirizzo email)
• Credenziali di accesso
• Dati forniti durante l'autenticazione tramite Google
• Informazioni tecniche di accesso (IP, data e ora, dispositivo utilizzato)

2.2 Dati contenuti nei documenti elaborati:

• Contenuto degli estratti conto bancari in formato PDF
• Dati finanziari estratti durante la conversione
• File CSV generati dal processo di conversione

2.3 Dati tecnici:

• Log di sistema
• Informazioni relative all'utilizzo del Servizio
• Cookie tecnici essenziali al funzionamento del servizio

3. Finalità e Base Giuridica del Trattamento

3.1 Erogazione del Servizio (Art. 6.1.b GDPR):

• Gestione dell'account utente
• Conversione dei documenti
• Assistenza tecnica
• Conservazione temporanea dei file

3.2 Adempimento obblighi legali (Art. 6.1.c GDPR):

• Conservazione dati per obblighi fiscali
• Risposta a richieste delle autorità
• Adempimenti in materia di sicurezza

3.3 Legittimo interesse (Art. 6.1.f GDPR):

• Miglioramento del Servizio
• Prevenzione frodi
• Sicurezza informatica

4. Modalità di Trattamento e Misure di Sicurezza

4.1 Conservazione dei dati:

• I file PDF e CSV sono conservati su Amazon S3 (regione us-east) per un periodo massimo di 15 giorni
• Dopo 15 giorni, i file vengono automaticamente eliminati
• I dati di registrazione vengono conservati per la durata del rapporto contrattuale

4.2 Misure di sicurezza:

• Crittografia end-to-end durante la trasmissione dei dati
• Crittografia a riposo per i dati memorizzati
• Accesso ai dati limitato al personale autorizzato
• Backup periodici dei dati essenziali
• Monitoraggio continuo degli accessi
• Aggiornamenti regolari dei sistemi di sicurezza

5. Trasferimento dei Dati

5.1 Trasferimento verso gli USA:

I dati personali sono trasferiti negli Stati Uniti d'America attraverso:

• Amazon Web Services (AWS)
• OpenAI (per l'elaborazione GPT)
• Stripe (per l'elaborazione dei pagamenti)
• Lemon Squeezy (per la gestione degli abbonamenti)
• Supabase (per l'autenticazione e gestione database)

5.2 Garanzie per il trasferimento:

• Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
• Valutazione d'impatto sui trasferimenti internazionali
• Misure tecniche e organizzative supplementari
• Conformità al Privacy Shield per i fornitori di servizi statunitensi

6. Destinatari dei Dati

6.1 Fornitori di servizi:

• Amazon Web Services (hosting e elaborazione)
• OpenAI (elaborazione testi)
• Supabase (autenticazione e gestione database)
• Stripe (elaborazione pagamenti)
• Lemon Squeezy (gestione abbonamenti)

6.2 Altri destinatari:

• Personale autorizzato del Titolare
• Consulenti tecnici e legali
• Autorità pubbliche, solo se richiesto dalla legge

7. Diritti dell'Interessato

L'utente può esercitare i seguenti diritti inviando una richiesta a [email]:

7.1 Diritti esercitabili:

• Accesso ai dati (Art. 15 GDPR)
• Rettifica dei dati (Art. 16 GDPR)
• Cancellazione dei dati (Art. 17 GDPR)
• Limitazione del trattamento (Art. 18 GDPR)
• Portabilità dei dati (Art. 20 GDPR)
• Opposizione al trattamento (Art. 21 GDPR)

7.2 Reclamo:

È possibile presentare un reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it)

8. Natura del Conferimento dei Dati

• Il conferimento dei dati di registrazione è obbligatorio per l'utilizzo del Servizio
• Il caricamento dei file PDF è necessario per l'erogazione del servizio di conversione
• Il mancato conferimento comporta l'impossibilità di utilizzare il Servizio

9. Processo Decisionale Automatizzato

• Il Servizio utilizza sistemi automatizzati (AWS Textract e GPT) per la conversione dei documenti
• Non vengono effettuate profilazioni automatizzate degli utenti
• Non vengono prese decisioni automatizzate che producono effetti giuridici

10. Sicurezza dei Dati Bancari e dei Pagamenti

10.1 Trattamento degli Estratti Conto Bancari

10.1.1 Processo di elaborazione:

• I file PDF degli estratti conto vengono caricati in modo sicuro attraverso connessione crittografata (HTTPS)
• I file vengono memorizzati temporaneamente su Amazon S3 in bucket privati nella regione us-east
• L'elaborazione avviene attraverso due fasi automatizzate:
  1. Estrazione del testo tramite AWS Textract
  2. Elaborazione e strutturazione dei dati tramite GPT API
• Il file CSV risultante viene generato e memorizzato nel medesimo bucket privato S3

10.1.2 Misure di sicurezza per i dati bancari:

• Accesso ai bucket S3 limitato esclusivamente ai servizi autorizzati
• Crittografia dei dati a riposo (server-side encryption) su S3
• Crittografia in transito durante tutte le fasi di elaborazione
• Politiche IAM restrittive per l'accesso ai dati
• Logging e monitoraggio di tutti gli accessi ai file
• Isolamento dei dati tra diversi utenti

10.1.3 Conservazione e cancellazione:

• I file PDF originali e i CSV generati sono conservati per un massimo di 15 giorni
• Dopo 15 giorni, i file vengono automaticamente ed irreversibilmente eliminati
• Non viene mantenuta alcuna copia cache o backup oltre questo periodo
• Gli utenti possono richiedere la cancellazione immediata dei propri file in qualsiasi momento contattando via email support@convertitoreestratticonto.com

10.1.4 Gestione degli accessi:

• L'accesso ai contenuti degli estratti conto è limitato al personale autorizzato del Titolare del trattamento
• L'elaborazione avviene attraverso processi automatizzati utilizzando AWS Textract e GPT API
• Il personale autorizzato può accedere ai file per:
  • Verificare il corretto funzionamento del sistema
  • Fornire supporto tecnico agli utenti
  • Risolvere eventuali problemi di elaborazione
  • Effettuare manutenzione del sistema
• Viene mantenuto un registro degli accessi ai file per ragioni di sicurezza e tracciabilità

10.2 Dati di pagamento

10.2.1 Gestione pagamenti:

• I dati delle carte di credito sono gestiti direttamente da Stripe e Lemon Squeezy e non vengono mai memorizzati sui nostri server
• Le transazioni sono protette mediante protocolli di crittografia standard del settore
• Le informazioni di fatturazione sono gestite tramite Lemon Squeezy e da Stripe
• Vengono conservati solo i dati minimi necessari per la gestione degli abbonamenti e la fatturazione

10.2.2 Periodo di conservazione dati di pagamento:

• I dati relativi alle transazioni vengono conservati per il periodo richiesto dalle normative fiscali e contabili
• Le informazioni degli abbonamenti rimangono attive fino alla cancellazione dell'account
• I dettagli delle carte di credito sono gestiti esclusivamente dai provider di pagamento

10.3 Conformità e Certificazioni

• Utilizzo esclusivo di fornitori di servizi cloud conformi agli standard ISO 27001
• Conformità con gli standard PCI DSS per il trattamento dei dati di pagamento

11. Modifiche all'Informativa

• Il Titolare si riserva il diritto di modificare questa informativa
• Le modifiche saranno comunicate agli utenti via email
• La versione aggiornata sarà sempre disponibile sul sito
• L'utilizzo continuato del Servizio dopo le modifiche implica l'accettazione delle stesse

Data ultimo aggiornamento: [data]

12. Contatti

Per qualsiasi informazione o richiesta relativa al trattamento dei dati personali:

• Email: support@convertitoreestratticonto.com
• PEC: luca_didomenico@pec.it
• Indirizzo: Via Plauto 12, Pescara (PE)
• Telefono: +39 3703006522

13. Trattamento dei Dati di Autenticazione

13.1 Gestione dell'autenticazione:

• L'autenticazione degli utenti è gestita attraverso Supabase
• Le credenziali sono crittografate e mai accessibili in chiaro
• Le sessioni sono gestite in modo sicuro con token temporanei
• L'accesso può avvenire tramite email/password o provider OAuth

13.2 Dati raccolti durante l'autenticazione:

• Email
• Password (crittografata)
• Provider di autenticazione utilizzato
• Timestamp di accesso
• Indirizzo IP
• Dispositivo utilizzato

13.3 Finalità del trattamento:

• Verifica dell'identità dell'utente
• Sicurezza dell'account
• Prevenzione di accessi non autorizzati
• Assistenza tecnica

Data ultimo aggiornamento: 06/10/2024