Informativa sulla Privacy

1. Titolare del Trattamento

Il titolare del trattamento dei tuoi dati personali è:

2. Dati che Raccogliamo

Raccogliamo diversi tipi di informazioni per fornirti i nostri servizi e migliorare la tua esperienza:

2.1. Dati di Identificazione e Contatto

• Informazioni dell'account: nome completo, indirizzo email, numero di telefono, nome dell'azienda/studio
• Informazioni di fatturazione: indirizzo fiscale, partita IVA/codice fiscale, dati necessari per l'emissione delle fatture
• Dati di autenticazione: password crittografata, token di sessione, informazioni di autenticazione a due fattori

2.2. Dati dei Contenuti del Progetto

• Documenti: file PDF, DWG, progetti, specifiche tecniche e qualsiasi documento caricato
• Immagini e fotografie: foto del cantiere, render, immagini di design con metadati EXIF (data, posizione se disponibile)
• Messaggi e comunicazioni: chat, commenti, note condivise all'interno della piattaforma
• Pianificazioni: cronogrammi, attività, milestone del progetto, assegnazioni del team
• Report: report generati, analisi del progetto, statistiche

2.3. Dati di Utilizzo e Tecnici

• Informazioni di navigazione: pagine visitate, funzionalità utilizzate, tempo di sessione, flusso di navigazione
• Dati del dispositivo: tipo di dispositivo, sistema operativo, versione del browser, risoluzione dello schermo
• Dati di rete: indirizzo IP, geolocalizzazione approssimativa basata su IP, provider internet
• Log del server: timestamp di accesso, richieste HTTP, codici di risposta
• Dati di prestazione: tempi di caricamento, errori, interazioni con l'interfaccia

2.4. Cookie e Tecnologie Simili

• Cookie essenziali: necessari per il funzionamento della piattaforma (autenticazione, sicurezza)
• Cookie analitici: per capire come utilizzi il servizio e migliorare l'esperienza
• Cookie di preferenze: per ricordare le tue impostazioni e personalizzazioni
• Local storage e session storage: per memorizzare temporaneamente dati nel tuo browser

3. Base Giuridica e Finalità del Trattamento

Trattiamo i tuoi dati personali sulla base delle seguenti basi giuridiche e per le seguenti finalità:

3.1. Esecuzione del Contratto

• Fornire, gestire e mantenere l'accesso alla piattaforma Tabiquo
• Elaborare e archiviare i tuoi contenuti (documenti, foto, pianificazioni)
• Facilitare la collaborazione tra membri del team e clienti
• Gestire il tuo account, la fatturazione e i pagamenti
• Fornire supporto tecnico e assistenza clienti

3.2. Consenso

• Inviare comunicazioni commerciali, newsletter e materiale promozionale (puoi revocare il consenso in qualsiasi momento)
• Utilizzare cookie non essenziali (analitici, marketing)
• Effettuare analisi comportamentali per personalizzare la tua esperienza

3.3. Legittimo Interesse

• Migliorare e sviluppare nuove funzionalità della piattaforma
• Prevenire frodi, abusi e uso non autorizzato
• Garantire la sicurezza della piattaforma e degli utenti
• Effettuare analisi statistiche aggregate e anonime
• Rilevare e risolvere problemi tecnici

3.4. Obbligo Legale

• Adempiere agli obblighi fiscali e contabili
• Rispondere a richieste giudiziarie o di autorità competenti
• Conservare i dati secondo i termini legali stabiliti

4. Condivisione dei Dati con Terze Parti

Non vendiamo, noleggiamo né commercializziamo i tuoi dati personali. Condividiamo i tuoi dati solo nelle seguenti circostanze:

4.1. Fornitori di Servizi Essenziali

Condividiamo dati con fornitori di fiducia che ci aiutano a operare la piattaforma. Tutti i fornitori sono soggetti ad accordi di riservatezza e obblighi di protezione dei dati equivalenti al GDPR:

• Hetzner Online GmbH (Germania): hosting di server applicativi e database. I server sono situati in data center in Germania (UE), conformi agli standard ISO 27001 e alle certificazioni di sicurezza tedesche
• Cloudflare, Inc. (USA/UE): archiviazione file (S3), CDN e protezione DDoS. I file sono archiviati nei data center europei di Cloudflare, protetti dalle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
• Processori di pagamento: Stripe o fornitori equivalenti per i pagamenti con carta (elaboriamo solo i dati minimi necessari, non archiviamo mai dati completi delle carte)
• Servizi email transazionali: per inviare notifiche, conferme account e comunicazioni necessarie per il servizio
• Strumenti di analisi: per analizzare l'utilizzo della piattaforma attraverso dati aggregati e anonimizzati

4.2. Con il Tuo Consenso Esplicito

• Quando condividi un progetto con clienti o collaboratori all'interno della piattaforma
• Quando autorizzi espressamente l'integrazione con servizi di terze parti (es. Google Drive, calendario)
• Quando richiedi supporto tecnico e ci autorizzi ad accedere al tuo account per risolvere problemi

4.3. Per Obbligo Legale

• Quando richiesto da legge, regolamento, processo legale o richiesta governativa applicabile
• Per far rispettare i nostri Termini di Servizio e le nostre politiche
• Per proteggere i nostri diritti, proprietà o sicurezza, o quelli dei nostri utenti
• Per rilevare, prevenire o affrontare frodi, problemi di sicurezza o tecnici

4.4. Operazioni Societarie

In caso di fusione, acquisizione, vendita di asset o procedura di insolvenza, i dati personali possono essere trasferiti ai successori. Ti informeremo in anticipo e sarai informato delle tue opzioni riguardo ai tuoi dati.

5. Ubicazione e Trasferimenti Internazionali dei Dati

5.1. Ubicazione Principale dei Dati

5.2. Trasferimenti al di Fuori del SEE

Quando è necessario trasferire dati personali al di fuori dello Spazio Economico Europeo (SEE), garantiamo protezioni adeguate mediante:

• Clausole Contrattuali Standard (SCC): contratti approvati dalla Commissione Europea che garantiscono una protezione equivalente al GDPR
• Decisioni di Adeguatezza: trasferimenti solo verso paesi riconosciuti dall'UE con livelli adeguati di protezione
• Valutazioni d'Impatto: effettuiamo valutazioni d'impatto sui trasferimenti (TIA) secondo le raccomandazioni dell'EDPB
• Minimizzazione dei dati: trasferiamo solo i dati strettamente necessari per la finalità specifica

5.3. Misure Tecniche Supplementari

Per proteggere i trasferimenti internazionali, implementiamo misure tecniche aggiuntive come la crittografia end-to-end per i dati sensibili, la pseudonimizzazione quando possibile e controlli di accesso rigorosi.

6. Sicurezza dei Dati

Implementiamo misure di sicurezza tecniche e organizzative di alto livello per proteggere i tuoi dati personali da accessi non autorizzati, perdita, alterazione o divulgazione:

6.1. Misure Tecniche

• Crittografia robusta:
  • TLS 1.3 per i dati in transito (connessioni HTTPS obbligatorie)
  • AES-256 per i dati a riposo (database e file)
  • Crittografia a livello di colonna per i dati particolarmente sensibili
• Autenticazione e controllo degli accessi:
  • Autenticazione multifattore (MFA) disponibile e raccomandata
  • Password hashate con bcrypt (fattore di costo 12+)
  • Controllo degli accessi basato sui ruoli (RBAC)
  • Token di sessione sicuri con scadenza automatica
  • Protezione contro attacchi brute force (rate limiting)
• Sicurezza di rete:
  • Web application firewall (WAF) tramite Cloudflare
  • Protezione DDoS a livello di rete e applicazione
  • Reti private virtuali (VPN) per l'accesso amministrativo
  • Segmentazione della rete e principio del minimo privilegio
• Monitoraggio e risposta:
  • Monitoraggio continuo 24/7 di sistemi e log
  • Rilevamento automatico di anomalie e attività sospette
  • Sistema di alert in tempo reale
  • Registrazione di audit di tutte le azioni critiche

6.2. Misure Organizzative

• Backup regolari: backup giornalieri crittografati, archiviati in più località geografiche, con conservazione di 30 giorni e capacità di ripristino in meno di 24 ore
• Piano di continuità operativa: procedure documentate per il disaster recovery (RTO: 4 ore, RPO: 1 ora)
• Formazione del personale: formazione annuale obbligatoria sulla protezione dei dati e sicurezza delle informazioni per tutti i dipendenti
• Gestione degli incidenti: protocollo stabilito per rispondere alle violazioni di sicurezza in conformità con l'Articolo 33 GDPR (notifica entro 72 ore)
• Accesso limitato: solo il personale autorizzato e necessario ha accesso ai dati personali, con log di audit completi
• Valutazioni di sicurezza: audit di sicurezza periodici, penetration test annuali e revisioni delle vulnerabilità

6.3. Gestione dei Fornitori

Tutti i fornitori che trattano dati personali sono contrattualmente obbligati a mantenere misure di sicurezza equivalenti, sono auditati regolarmente e devono notificarci immediatamente qualsiasi incidente di sicurezza.

7. I Tuoi Diritti secondo il GDPR

In conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR), hai i seguenti diritti riguardo ai tuoi dati personali:

7.1. Diritto di Accesso (Art. 15 GDPR)

Puoi richiedere una copia di tutti i dati personali che abbiamo su di te, incluse informazioni su quali dati trattiamo, per quali finalità, con chi li condividiamo e per quanto tempo li conserviamo. Termine di risposta: 1 mese.

7.2. Diritto di Rettifica (Art. 16 GDPR)

Puoi correggere dati inesatti o incompleti in qualsiasi momento attraverso le impostazioni del tuo account o contattandoci. Termine di risposta: 1 mese.

7.3. Diritto alla Cancellazione - "Diritto all'Oblio" (Art. 17 GDPR)

Puoi richiedere la cancellazione dei tuoi dati personali nelle seguenti circostanze:

• I dati non sono più necessari per le finalità per cui sono stati raccolti
• Revochi il consenso e non esiste altra base giuridica per il trattamento
• Ti opponi al trattamento e non prevalgono interessi legittimi prevalenti
• I dati sono stati trattati illecitamente
• I dati devono essere cancellati per adempiere a un obbligo legale

Nota: Questo diritto non è assoluto. Possiamo conservare alcuni dati se siamo legalmente obbligati (ad esempio, dati fiscali per 10 anni secondo la normativa spagnola) o se è necessario per accertare, esercitare o difendere diritti legali. Termine di cancellazione: 90 giorni dalla conferma della richiesta.

7.4. Diritto alla Limitazione del Trattamento (Art. 18 GDPR)

Puoi richiedere che limitiamo il trattamento dei tuoi dati nei seguenti casi:

• Contesti l'esattezza dei dati (per il tempo necessario alla verifica)
• Il trattamento è illecito ma ti opponi alla cancellazione
• Non abbiamo più bisogno dei dati ma tu ne hai bisogno per azioni legali
• Ti sei opposto al trattamento (mentre verifichiamo se i nostri motivi legittimi prevalgono)

Durante la limitazione, conserveremo solo i dati senza elaborarli attivamente, salvo per azioni legali o con il tuo consenso.

7.5. Diritto alla Portabilità dei Dati (Art. 20 GDPR)

Puoi ricevere i dati personali che ci hai fornito in un formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON, CSV, XML). Puoi anche richiedere che trasmettiamo questi dati direttamente a un altro titolare quando tecnicamente possibile. Questo diritto si applica quando il trattamento si basa sul consenso o sul contratto ed è effettuato con mezzi automatizzati. Termine di risposta: 1 mese.

7.6. Diritto di Opposizione (Art. 21 GDPR)

Hai il diritto di opporti al trattamento dei tuoi dati in qualsiasi momento quando:

• Trattamento basato su interesse legittimo: smetteremo di trattare i tuoi dati a meno che non dimostriamo motivi legittimi cogenti che prevalgono sui tuoi interessi
• Marketing diretto: diritto assoluto di opposizione senza necessità di giustificazione. Puoi cancellarti in qualsiasi momento dalle email o dalle impostazioni del tuo account
• Profilazione: puoi opporti a decisioni automatizzate che producono effetti giuridici o ti riguardano significativamente

7.7. Diritto di Revocare il Consenso (Art. 7 GDPR)

Quando il trattamento si basa sul tuo consenso, puoi revocarlo in qualsiasi momento con la stessa facilità con cui lo hai prestato. La revoca del consenso non pregiudica la liceità del trattamento precedente. Effetto immediato dopo la richiesta.

7.8. Diritto a Non Essere Oggetto di Decisioni Automatizzate (Art. 22 GDPR)

Hai il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producono effetti giuridici o ti riguardano significativamente. Attualmente, Tabiquo non effettua processi decisionali automatizzati di questo tipo.

7.9. Come Esercitare i Tuoi Diritti

7.10. Diritto di Proporre Reclamo all'Autorità di Controllo

Se ritieni che il trattamento dei tuoi dati personali violi il GDPR, hai il diritto di proporre reclamo all'autorità di controllo competente:

Ti consigliamo di contattarci prima per risolvere qualsiasi dubbio, ma hai il diritto assoluto di rivolgerti direttamente all'AEPD se preferisci.

8. Conservazione dei Dati

Conserviamo i tuoi dati personali solo per il tempo necessario a soddisfare le finalità per cui sono stati raccolti, compresi gli obblighi legali, contabili, fiscali o di reportistica:

8.1. Periodi di Conservazione Specifici

• Dati dell'account attivo: Per la durata del rapporto contrattuale più 90 giorni dopo la cancellazione del servizio
• Contenuti dei progetti (documenti, foto, messaggi): Durante l'abbonamento attivo + 90 giorni dopo la cancellazione. Dopo questo periodo, vengono eliminati in modo permanente e irreversibile
• Dati di fatturazione e transazioni: 10 anni dall'emissione della fattura (obbligo legale fiscale spagnolo secondo la Ley General Tributaria)
• Log di audit e sicurezza: 2 anni dalla generazione per finalità di sicurezza e rilevamento frodi
• Comunicazioni di supporto: 3 anni dall'ultima interazione come prova del servizio prestato
• Dati di marketing (con consenso): Fino alla revoca del consenso o 3 anni dall'ultima interazione attiva con le comunicazioni commerciali
• Dati anonimizzati per statistiche: Indefinitamente, poiché non permettono l'identificazione (aggregati di utilizzo, metriche di performance)

8.2. Processo di Eliminazione dell'Account

Quando cancelli il tuo account o richiedi l'eliminazione dei tuoi dati:

1. Disattivazione immediata: il tuo account viene disattivato e non puoi più accedervi
2. Periodo di grazia di 30 giorni: manteniamo i tuoi dati in stato "eliminazione in sospeso" nel caso cambiassi idea (puoi contattarci per recuperare l'account)
3. Eliminazione progressiva (giorni 31-90): eliminazione permanente di tutti i dati personali e contenuti dei progetti da tutti i sistemi, backup e copie
4. Conservazione legale (dopo il giorno 90): conserviamo solo i dati strettamente necessari per obblighi legali (fatture, dati fiscali) in sistemi di archiviazione sicuri con accesso limitato

Importante: L'eliminazione dei dati è irreversibile dopo il periodo di grazia. Assicurati di esportare tutte le informazioni di cui hai bisogno prima di cancellare il tuo account.

8.3. Revisione Periodica

Revisioniamo periodicamente i dati archiviati ed eliminiamo automaticamente quelli che hanno superato il periodo di conservazione necessario, a meno che non ci sia un obbligo legale di conservarli più a lungo.

9. Minori

Tabiquo non è destinato ai minori di 18 anni. Non raccogliamo consapevolmente dati personali di minori senza il consenso dei genitori o tutori legali.

In Spagna, secondo il GDPR e la LOPDGDD, i maggiori di 14 anni possono acconsentire autonomamente al trattamento dei propri dati. Tuttavia, per l'utilizzo di Tabiquo (servizio professionale B2B), richiediamo che gli utenti abbiano almeno 18 anni.

Se scopriamo di aver raccolto dati di un minore senza la dovuta autorizzazione, elimineremo immediatamente tali informazioni. Se sei a conoscenza che un minore ha fornito dati personali, ti preghiamo di contattare: privacy@tabiquo.com

10. Modifiche a questa Informativa sulla Privacy

Potremmo aggiornare periodicamente questa Informativa sulla Privacy per riflettere cambiamenti nelle nostre pratiche, servizi o requisiti legali. Quando apportiamo modifiche:

• Modifiche minori (chiarimenti, correzioni): aggiorneremo la data "Ultimo aggiornamento" in cima a questa informativa
• Modifiche sostanziali (nuove finalità, destinatari): ti informeremo con almeno 30 giorni di anticipo via email e con un avviso prominente sulla piattaforma
• Modifiche che richiedono il consenso: richiederemo il tuo consenso esplicito prima di applicare le modifiche ai tuoi dati

Ti consigliamo di rivedere periodicamente questa informativa per rimanere informato su come proteggiamo i tuoi dati. L'uso continuato del servizio dopo le modifiche costituisce accettazione dell'informativa aggiornata, a meno che le modifiche non richiedano un consenso esplicito.

11. Contatti e DPO

Per qualsiasi domanda, richiesta o dubbio su questa Informativa sulla Privacy o sul trattamento dei tuoi dati personali:

Hai anche il diritto di proporre reclamo presso l'Agenzia Spagnola per la Protezione dei Dati (AEPD) se ritieni che i tuoi diritti non siano stati rispettati.