Informativa sul Trattamento dei Dati Personali

A. Titolare del Trattamento

Non è stato designato un Responsabile della Protezione dei Dati (DPO) in quanto non sussistono le condizioni di cui all'art. 37 GDPR. Il Titolare è direttamente raggiungibile all'indirizzo e-mail indicato per qualsiasi questione relativa ai dati personali.

B. Dati Personali Raccolti e Trattati

• • Dati identificativi e di contatto: nome, cognome (opzionale), indirizzo e-mail
• • Credenziali di accesso: password (in forma hash), OTP temporanei, token di sessione
• • Dati bancari e finanziari: estratti conto (PDF/CSV/XLSX), movimenti, IBAN presenti nei documenti, dati patrimoniali e contabili caricati dall'utente
• • Dati fiscali e tributari (Modulo SID): codice fiscale, partita IVA, dati anagrafici completi, comunicazioni verso l'Agenzia delle Entrate, pagamenti F24, certificati digitali .p12, credenziali PEC
• • Dati aziendali: denominazione, PIVA, dati visura camerale richiedenti all'utente
• • Dati di fatturazione: identificativo cliente Stripe, piano e stato abbonamento
• • Dati tecnici di accesso: indirizzo IP, timestamp, user-agent, log operazioni SID (audit trail)

C. Finalità e Basi Giuridiche del Trattamento

• 1. Erogazione del servizio PongoFin (analisi bancaria, SID, REI, Tesoreria, AI)
  Base giuridica: Art. 6.1.b GDPR — esecuzione del contratto
• 2. Autenticazione sicura e gestione dell'account
  Base giuridica: Art. 6.1.b GDPR — esecuzione del contratto; art. 6.1.f GDPR — legittimo interesse alla sicurezza
• 3. Comunicazioni fiscali SID verso l'Agenzia delle Entrate
  Base giuridica: Art. 6.1.c GDPR — obbligo legale (D.L. 201/2011, DM 4/8/2016)
• 4. Conservazione audit trail SID (10 anni)
  Base giuridica: Art. 6.1.c GDPR — obbligo legale (art. 43 D.L. 201/2011 conv. L. 214/2011)
• 5. Gestione abbonamenti, fatturazione e adempimenti IVA
  Base giuridica: Art. 6.1.b GDPR — esecuzione del contratto; art. 6.1.c GDPR — obbligo legale (art. 39 DPR 633/72, art. 2220 c.c.)
• 6. Invio e-mail transazionali (OTP, inviti team, notifiche)
  Base giuridica: Art. 6.1.b GDPR — esecuzione del contratto
• 7. Prevenzione frodi e sicurezza della piattaforma
  Base giuridica: Art. 6.1.f GDPR — legittimo interesse

Nessun dato è trattato per finalità di marketing diretto, profilazione commerciale o venduto a terzi.

D. Destinatari dei Dati

I dati sono comunicati esclusivamente ai seguenti Responsabili del Trattamento (art. 28 GDPR), con cui il Titolare ha stipulato apposito DPA:

• • Cloudflare Inc. (USA) — Infrastruttura cloud (database, storage, edge computing, AI)
• • Stripe Inc. (USA) — Elaborazione pagamenti e abbonamenti
• • Resend Inc. (USA) — Invio e-mail transazionali
• • OpenAPI.it / Multis S.r.l. (Italia) — Accesso dati Registro Imprese
• • Google LLC (USA) — Autenticazione OAuth (solo per utenti che scelgono il login Google)
• • Agenzia delle Entrate (Italia) — Destinatario istituzionale delle comunicazioni SID inviate su mandato dell'utente

I dati non sono comunicati a soggetti terzi per finalità proprie di tali soggetti.

E. Trasferimenti verso Paesi Terzi

I Responsabili del Trattamento Cloudflare, Stripe, Resend e Google hanno sede negli Stati Uniti. I trasferimenti avvengono sulla base delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea con Decisione 2021/914/UE, garantendo un livello di protezione equivalente a quello UE.

F. Periodo di Conservazione

• • Dati account: durata del contratto + 30 giorni dalla cancellazione
• • Dati bancari caricati: durata del workspace + 30 giorni
• • Dati SID e audit trail: 10 anni (obbligo art. 43 D.L. 201/2011)
• • Dati di fatturazione: 10 anni (obblighi fiscali e civilistici)
• • Log tecnici: 6 mesi
• • OTP: 5 minuti (TTL automatico)

G. Diritti dell'Interessato (artt. 15–22 GDPR)

L'interessato ha diritto di:

• • Accesso (art. 15): ottenere conferma e copia dei propri dati
• • Rettifica (art. 16): correggere dati inesatti o incompleti
• • Cancellazione (art. 17): chiedere l'eliminazione dei dati, salvo obblighi legali di conservazione
• • Limitazione (art. 18): limitare il trattamento in determinate condizioni
• • Portabilità (art. 20): ricevere i propri dati in formato strutturato (JSON/CSV)
• • Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse
• • Reclamo (art. 77): proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)

Le richieste si inviano a: [email protected]. Risposta entro 30 giorni (prorogabili di ulteriori 60 giorni per complessità).

H. Natura del Conferimento e Conseguenze del Rifiuto

Il conferimento dei dati identificativi (e-mail) e della password è obbligatorio per la creazione dell'account: senza tali dati non è possibile erogare il servizio.

Il conferimento dei dati bancari, fiscali e dei documenti è facoltativo e strettamente connesso all'utilizzo delle specifiche funzionalità richieste dall'utente: il mancato caricamento di tali dati comporta l'impossibilità di usufruire delle relative funzionalità ma non pregiudica l'accesso alle funzionalità che non li richiedono.

Il nome e cognome sono facoltativi e non influenzano l'accesso al servizio.

I. Processi Decisionali Automatizzati

PongoFin utilizza sistemi di intelligenza artificiale per l'elaborazione e la categorizzazione dei dati finanziari dell'utente. Tali elaborazioni hanno finalità puramente strumentale e di supporto alle decisioni dell'utente, senza produrre effetti giuridici o significativi nei confronti di terzi ai sensi dell'art. 22 GDPR. I risultati prodotti dal sistema AI hanno valore puramente informativo e non costituiscono consulenza professionale.

Contatti per l'Esercizio dei Diritti

Per l'informativa completa, consultare la Privacy Policy.