GDPR Compliance

SendFlow AI si impegna a proteggere la privacy e i dati personali di tutti i suoi utenti in conformità con il GDPR (Regolamento UE 2016/679). I nostri principi fondamentali: • Privacy by Design: la protezione dei dati è integrata in ogni fase dello sviluppo • Privacy by Default: le impostazioni predefinite garantiscono la massima protezione • Minimizzazione dei dati: raccogliamo solo i dati strettamente necessari • Trasparenza: comunichiamo chiaramente come utilizziamo i tuoi dati • Sicurezza: implementiamo misure tecniche e organizzative adeguate

Come interessato, hai i seguenti diritti garantiti dal GDPR: DIRITTO DI ACCESSO (Art. 15) Puoi richiedere una copia di tutti i dati personali che abbiamo su di te. DIRITTO DI RETTIFICA (Art. 16) Puoi richiedere la correzione di dati personali inesatti o incompleti. DIRITTO ALLA CANCELLAZIONE (Art. 17) Puoi richiedere la cancellazione dei tuoi dati personali ("diritto all'oblio"). DIRITTO DI LIMITAZIONE (Art. 18) Puoi richiedere la limitazione del trattamento dei tuoi dati. DIRITTO ALLA PORTABILITÀ (Art. 20) Puoi richiedere i tuoi dati in un formato strutturato e leggibile da macchina. DIRITTO DI OPPOSIZIONE (Art. 21) Puoi opporti al trattamento dei tuoi dati per determinati scopi. DIRITTO DI REVOCA DEL CONSENSO (Art. 7) Puoi revocare il consenso al trattamento in qualsiasi momento.

Raccogliamo e trattiamo i seguenti tipi di dati: DATI DI ACCOUNT • Nome e cognome • Indirizzo email • Password (crittografata) • Informazioni di fatturazione DATI DI UTILIZZO • Log di accesso • Attività sulla piattaforma • Preferenze e impostazioni DATI DEI CONTATTI (caricati dall'utente) • Liste di email dei destinatari • Dati di segmentazione • Cronologia delle interazioni DATI TECNICI • Indirizzo IP • Tipo di browser e dispositivo • Cookie tecnici Per ogni categoria di dati, identifichiamo la base giuridica appropriata (consenso, contratto, legittimo interesse, obbligo legale).

Implementiamo misure tecniche e organizzative per proteggere i tuoi dati: SICUREZZA TECNICA • Crittografia TLS/SSL per tutte le comunicazioni • Crittografia AES-256 per i dati a riposo • Hashing sicuro delle password (bcrypt) • Firewall e sistemi di rilevamento intrusioni • Backup regolari e crittografati SICUREZZA ORGANIZZATIVA • Accesso ai dati limitato al personale autorizzato • Formazione sulla sicurezza per tutti i dipendenti • Procedure di risposta agli incidenti • Audit di sicurezza periodici • Accordi di riservatezza con i fornitori CERTIFICAZIONI E STANDARD • Conformità ISO 27001 (in corso) • Data center certificati SOC 2 • Penetration testing annuale

I tuoi dati potrebbero essere trasferiti e trattati in paesi al di fuori dello Spazio Economico Europeo (SEE). GARANZIE ADOTTATE Per i trasferimenti verso paesi terzi, ci assicuriamo che: • Il paese abbia una decisione di adeguatezza della Commissione Europea • Siano in vigore Clausole Contrattuali Standard (SCC) approvate dalla Commissione • Il destinatario aderisca al Data Privacy Framework (per gli USA) FORNITORI PRINCIPALI • Stripe (pagamenti): USA - Data Privacy Framework • Server di posta: UE - Nessun trasferimento extra-UE Puoi richiedere informazioni dettagliate sui trasferimenti contattandoci.

Quando utilizzi SendFlow AI per inviare email ai tuoi contatti, agisci come Titolare del Trattamento e SendFlow AI agisce come Responsabile del Trattamento. I TUOI OBBLIGHI COME TITOLARE • Ottenere il consenso valido dai tuoi contatti • Rispettare i diritti degli interessati • Fornire informative privacy adeguate • Gestire le richieste di cancellazione I NOSTRI OBBLIGHI COME RESPONSABILE • Trattare i dati solo secondo le tue istruzioni • Garantire la sicurezza dei dati • Assistere nell'adempimento degli obblighi GDPR • Notificare eventuali violazioni dei dati • Cancellare i dati al termine del servizio Un Data Processing Agreement (DPA) è disponibile su richiesta.

In caso di violazione dei dati personali (data breach), seguiamo procedure rigorose: NOTIFICA ALL'AUTORITÀ • Notifica al Garante Privacy entro 72 ore dalla scoperta • Documentazione dettagliata dell'incidente • Valutazione del rischio per gli interessati NOTIFICA AGLI INTERESSATI • Comunicazione tempestiva se il rischio è elevato • Descrizione della natura della violazione • Misure adottate per mitigare i danni • Raccomandazioni per proteggere i propri dati MISURE CORRETTIVE • Analisi delle cause • Implementazione di misure preventive • Aggiornamento delle procedure di sicurezza

Conserviamo i tuoi dati solo per il tempo necessario: DATI DI ACCOUNT • Per tutta la durata del rapporto contrattuale • Fino a 5 anni dopo la chiusura per obblighi fiscali DATI DI UTILIZZO • Log di accesso: 12 mesi • Analytics: 26 mesi (aggregati e anonimizzati) DATI DEI CONTATTI • Fino alla cancellazione da parte dell'utente • 30 giorni dopo la chiusura dell'account DATI DI FATTURAZIONE • 10 anni per obblighi fiscali Al termine del periodo di conservazione, i dati vengono cancellati in modo sicuro o anonimizzati.

Per esercitare i tuoi diritti GDPR: CONTATTO DIRETTO Email: [email protected] Oggetto: Richiesta GDPR - [Tipo di richiesta] INFORMAZIONI RICHIESTE • Nome completo e email dell'account • Tipo di richiesta (accesso, rettifica, cancellazione, ecc.) • Dettagli specifici della richiesta TEMPISTICHE • Conferma di ricezione: entro 48 ore • Risposta alla richiesta: entro 30 giorni • Estensione possibile: ulteriori 60 giorni per richieste complesse AUTORITÀ DI CONTROLLO Se ritieni che i tuoi diritti siano stati violati, puoi presentare reclamo al: Garante per la Protezione dei Dati Personali www.garanteprivacy.it

Questa pagina viene aggiornata periodicamente per riflettere: • Modifiche normative • Nuove funzionalità della piattaforma • Miglioramenti alle nostre pratiche di privacy Ti consigliamo di consultare questa pagina regolarmente. Per domande sulla nostra conformità GDPR: Email: [email protected] SendFlow AI Italia