Legal & GDPR Compliance

Informazioni legali e conformità al GDPR

1. Conformità al GDPR

TaxFlow è pienamente conforme al Regolamento Generale sulla Protezione dei Dati (GDPR - UE 2016/679) e garantisce la massima tutela dei dati personali dei propri utenti.

2. Dati del Titolare

  • Denominazione: TaxFlow
  • Partita IVA: IT13072550018
  • Email Legale: legal@taxflow.it
  • Email Privacy: privacy@taxflow.it
  • Telefono: +39 348 241 7878
  • PEC: taxflow@pec.it

3. Principi GDPR Applicati

3.1 Liceità, Correttezza e Trasparenza

Trattiamo i dati personali in modo lecito, corretto e trasparente nei confronti dell'interessato:

  • Informiamo gli utenti chiaramente sul trattamento dei loro dati
  • Otteniamo il consenso esplicito quando necessario
  • Forniamo informazioni complete e accessibili

3.2 Limitazione delle Finalità

I dati sono raccolti per finalità determinate, esplicite e legitimate:

  • Erogazione del servizio di gestione fiscale
  • Adempimenti contrattuali e obblighi di legge
  • Miglioramento dei servizi offerti
  • Comunicazioni di servizio e marketing (con consenso)

3.3 Minimizzazione dei Dati

Raccogliamo solo i dati strettamente necessari per le finalità dichiarate. Non chiediamo informazioni superflue o non pertinenti.

3.4 Esattezza

Garantiamo che i dati personali siano esatti e aggiornati. Gli utenti possono modificare i propri dati in qualsiasi momento tramite le impostazioni dell'account.

3.5 Limitazione della Conservazione

I dati personali sono conservati solo per il tempo necessario:

  • Dati di account: fino alla chiusura
  • Dati fiscali: 10 anni (obbligo normativo)
  • Dati di marketing: fino alla revoca del consenso

3.6 Integrità e Riservatezza

Implementiamo misure tecniche e organizzative rigorose:

  • Crittografia password: Hashing bcrypt con salt rounds 10 (algoritmo adattivo resistente a rainbow tables)
  • Autenticazione sicura: JWT (JSON Web Tokens) per sessioni stateless con scadenza configurabile
  • Connessioni sicure: HTTPS/TLS 1.3 per tutte le comunicazioni client-server
  • Pagamenti PCI-DSS: Stripe Checkout - zero dati di carta memorizzati sui nostri server
  • Database sicuro: MongoDB self-hosted con autenticazione e controllo accessi granulare
  • RBAC (Role-Based Access Control): Ruoli client/user/admin con permessi specifici
  • File upload sicuro: Validazione MIME types, limitazione dimensioni, storage locale isolato
  • Chat sicura: Socket.io con autenticazione JWT per comunicazioni in tempo reale
  • Cookie HttpOnly: Token di sessione non accessibili via JavaScript (prevenzione XSS)
  • Backup automatici: Database backup regolari con retention policy
  • PDF Generation: jsPDF lato client per fatture (no esposizione dati server-side)

Architettura Privacy-First:
• Database MongoDB self-hosted su server dedicati Italia/UE (no cloud pubblici)
• Nessun tracciamento analytics (no Google Analytics, Meta Pixel, ecc.)
• Cookie minimi essenziali (solo autenticazione e preferenze tema)
• Stripe per pagamenti: PCI-DSS Level 1 certified, nessun dato carta sul nostro DB
• Email transazionali via Resend (solo conferme/notifiche, no marketing non richiesto)

4. Diritti degli Interessati

Garantiamo l'esercizio di tutti i diritti previsti dal GDPR:

Diritto di Accesso (Art. 15 GDPR)

Puoi ottenere conferma del trattamento e una copia dei tuoi dati personali. Tempi di risposta: entro 30 giorni dalla richiesta.

Diritto di Rettifica (Art. 16 GDPR)

Puoi correggere dati inesatti o incompleti direttamente dalle impostazioni o contattandoci all'indirizzo privacy@taxflow.it

Diritto alla Cancellazione (Art. 17 GDPR)

Puoi richiedere la cancellazione dei tuoi dati personali, salvo obblighi di conservazione previsti dalla legge (es. dati fiscali per 10 anni).

Diritto di Limitazione (Art. 18 GDPR)

Puoi richiedere la limitazione del trattamento in caso di contestazione dell'esattezza dei dati o del trattamento illecito.

Diritto alla Portabilità (Art. 20 GDPR)

Puoi ricevere i tuoi dati in formato strutturato (JSON, CSV) e trasmetterli ad un altro titolare del trattamento.

Diritto di Opposizione (Art. 21 GDPR)

Puoi opporti al trattamento dei tuoi dati per finalità di marketing diretto in qualsiasi momento.

Diritto di Reclamo (Art. 77 GDPR)

Hai il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)

5. Data Breach e Notifiche

In conformità all'Art. 33 e 34 GDPR, in caso di violazione dei dati personali:

  • Notificheremo il Garante entro 72 ore dalla scoperta della violazione
  • Informeremo gli interessati senza ingiustificato ritardo se la violazione comporta un rischio elevato
  • Documenteremo tutte le violazioni, gli effetti e le misure correttive adottate
  • Implementeremo misure tecniche e organizzative per ridurre al minimo i rischi

6. Data Protection Impact Assessment (DPIA)

Per trattamenti che presentano rischi elevati, conduciamo valutazioni d'impatto sulla protezione dei dati:

  • Descrizione sistematica delle operazioni di trattamento
  • Valutazione della necessità e proporzionalità
  • Valutazione dei rischi per i diritti e le libertà
  • Misure previste per affrontare i rischi

7. Trasferimenti Internazionali di Dati

I dati personali sono conservati principalmente all'interno dell'Unione Europea. In caso di trasferimenti extra-UE, garantiamo adeguate garanzie:

  • Clausole contrattuali standard approvate dalla Commissione Europea
  • Certificazioni di adeguatezza (es. Privacy Shield 2.0)
  • Norme vincolanti d'impresa (BCR)

Provider utilizzati e localizzazione dati:
Database (MongoDB): Server dedicato self-hosted in Italia/UE - nessun trasferimento extra-UE
Stripe (Pagamenti): Conforme GDPR, dati di pagamento processati nell'UE
Resend (Email): Servizio conforme GDPR per invio email transazionali
Fattura Elettronica API: Servizio italiano per interfaccia con SDI (Sistema di Interscambio)

8. Privacy by Design e by Default

Implementiamo la protezione dei dati fin dalla progettazione:

  • Pseudonimizzazione e crittografia dei dati
  • Capacità di garantire la riservatezza e la resilienza dei sistemi
  • Capacità di ripristinare tempestivamente disponibilità e accesso ai dati
  • Procedure per testare e valutare regolarmente l'efficacia delle misure
  • Per impostazione predefinita, trattiamo solo i dati necessari

9. Responsabili del Trattamento

I fornitori terzi che trattano dati per nostro conto sono designati come Responsabili del Trattamento ai sensi dell'Art. 28 GDPR:

Stripe Inc.

Servizio: Elaborazione pagamenti e gestione abbonamenti
Dati trattati: Nome, email, informazioni di pagamento
DPA: Disponibile
Certificazioni: PCI-DSS Level 1, SOC 2 Type II, ISO 27001

Resend

Servizio: Piattaforma email transazionale
Dati trattati: Email, nome (solo per email di servizio)
DPA: Disponibile
Uso: Conferme registrazione, recupero password, notifiche di sistema

Fattura Elettronica API (fattura-elettronica-api.it)

Servizio: Gateway per Sistema di Interscambio (SDI)
Dati trattati: Dati fiscali, fatture elettroniche
Localizzazione: Italia
Privacy: Informazioni disponibili sul sito

Nota importante: Il database MongoDB è gestito internamente su server dedicati (self-hosted), non utilizziamo MongoDB Atlas o altri servizi cloud. I dati rimangono esclusivamente sui nostri server in Italia/UE.

10. Registro delle Attività di Trattamento

In conformità all'Art. 30 GDPR, manteniamo un registro delle attività di trattamento che include:

  • Nome e contatti del titolare del trattamento
  • Finalità del trattamento
  • Descrizione delle categorie di interessati e di dati personali
  • Categorie di destinatari dei dati
  • Trasferimenti di dati verso paesi terzi
  • Termini di conservazione
  • Misure di sicurezza tecniche e organizzative

Il registro è disponibile su richiesta dell'autorità di controllo.

11. Formazione del Personale

Tutto il personale autorizzato al trattamento dei dati personali riceve formazione adeguata su:

  • Principi e normative GDPR
  • Misure di sicurezza da adottare
  • Gestione delle richieste degli interessati
  • Procedure in caso di data breach

12. Contatti per Questioni Legali e Privacy

  • Email Legale: legal@taxflow.it
  • Email Privacy/DPO: privacy@taxflow.it
  • PEC: taxflow@pec.it
  • Telefono: +39 348 241 7878
  • Indirizzo: [Inserire indirizzo completo]

Tempo di risposta: Ci impegniamo a rispondere a tutte le richieste entro 30 giorni, come previsto dall'Art. 12 GDPR. In casi complessi, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione motivata.

13. Aggiornamenti e Revisioni

Questa pagina viene aggiornata regolarmente per riflettere modifiche normative, nuovi trattamenti o miglioramenti delle misure di sicurezza. La data dell'ultimo aggiornamento è indicata nell'intestazione.

Riferimenti Normativi:
• Regolamento (UE) 2016/679 (GDPR)
• D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018
• Linee guida del Garante per la Protezione dei Dati Personali
• Linee guida EDPB (European Data Protection Board)