Privacy Policy
Ultimo aggiornamento: Maggio 2026 — Versione 2.0
1. Titolare del Trattamento
GP Dev Studio di Giampietro Pregnolato
Partita IVA: 04494300264
Codice fiscale: PRGGPT84S09L175U
Indirizzo: Via Cieca D'Alnè 6, 31020 Vidor (TV), Italia
Email: [email protected]
Il Titolare non ha designato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono le condizioni di cui all'art. 37 del Regolamento (UE) 2016/679 (GDPR). Per qualsiasi questione inerente al trattamento dei dati personali è possibile contattare direttamente il Titolare all'indirizzo [email protected].
2. Categorie di Dati Trattati
PongoFin tratta le seguenti categorie di dati personali, distinte per natura e sensibilità:
2.1 Dati Identificativi e di Accesso
- • Indirizzo e-mail (identificativo principale dell'account)
- • Nome e cognome (opzionale al momento della registrazione)
- • Password in forma pseudonimizzata (hash bcrypt, mai in chiaro)
- • Identificativo account Google (per utenti che scelgono l'autenticazione OAuth)
- • Token di sessione e OTP temporanei (durata massima 5 minuti)
- • Indirizzo IP di accesso e user-agent (log tecnici, conservati 6 mesi)
2.2 Dati Bancari e Finanziari
Dati di particolare rilievo economico
Questi dati sono caricati volontariamente dall'utente e trattati esclusivamente per erogare il servizio richiesto. Non sono mai ceduti a terzi per finalità commerciali o di profilazione.
- • Estratti conto bancari (file PDF, CSV, XLSX) contenenti movimenti, IBAN del titolare, controparte e causali
- • Transazioni bancarie estratte: data, importo, descrizione, soggetto controparte, categoria
- • Dati patrimoniali (situazione contabile, piani dei conti)
- • Dati fatture (importo, data, controparte, numero) per riconciliazione
- • Previsioni e proiezioni di cash flow generate dalla piattaforma
2.3 Dati Fiscali e Tributari (Modulo SID)
Dati fiscali ad alto livello di sensibilità
Il trattamento di questi dati avviene su istruzione diretta dell'utente nell'ambito delle funzionalità di comunicazione con l'Agenzia delle Entrate (SID). Il Titolare agisce come Responsabile del Trattamento rispetto all'utente che, in qualità di soggetto obbligato, rimane Titolare dei dati dei propri clienti/anagrafiche.
- • Codice fiscale (persone fisiche e giuridiche)
- • Partita IVA
- • Dati anagrafici completi (cognome, nome, sesso, data e luogo di nascita) per persone fisiche
- • Dati sede legale (comune, provincia, CAP, indirizzo) per persone giuridiche
- • Comunicazioni fiscali verso l'Agenzia delle Entrate (XML SID), protocolli e ricevute
- • Pagamenti F24: codice fiscale del contribuente, tributi, importi (IRPEF, IVA, INPS, IMU)
- • Indirizzo PEC accreditato e credenziali di accesso al server PEC (cifrate)
- • Certificati digitali .p12 per firma comunicazioni AdE (protetti con password e cifrati a riposo)
- • Numero SID, numero REI e identificativi Registro Imprese
2.4 Dati Aziendali (Modulo REI / Visure)
- • Denominazione aziendale, PIVA, CF azienda
- • Dati di visura camerale (richiedendo informazioni al Registro Imprese tramite OpenAPI.it)
- • Dati bilancio e titolare effettivo (ove richiesti dall'utente)
2.5 Dati di Fatturazione e Abbonamento
- • Identificativo cliente Stripe (Stripe Customer ID) e identificativo abbonamento
- • Piano attivo, data di scadenza, stato pagamento
- • I dati completi della carta di pagamento non sono mai memorizzati da PongoFin; sono gestiti esclusivamente da Stripe Inc. con certificazione PCI DSS Level 1
2.6 Dati di Utilizzo e Log Tecnici
- • Log di accesso e autenticazione (IP, timestamp, esito)
- • Audit trail delle operazioni SID (chi ha fatto cosa e quando), conservati 10 anni per obbligo di legge
- • Log di elaborazione documenti (tipo file, parser utilizzato, esito)
- • Dati tecnici di navigazione nell'applicazione (localStorage: workspace corrente, lingua, tema)
3. Finalità del Trattamento e Basi Giuridiche
| Finalità | Base giuridica (GDPR) | Dati coinvolti |
|---|---|---|
| Erogazione del servizio (analisi bancaria, SID, REI, Treasury, AI) | Art. 6.1.b — Esecuzione del contratto | Tutti i dati 2.1–2.5 |
| Autenticazione e sicurezza dell'account (OTP, sessioni) | Art. 6.1.b — Esecuzione del contratto Art. 6.1.f — Legittimo interesse | Dati 2.1 |
| Comunicazioni SID verso Agenzia delle Entrate | Art. 6.1.c — Obbligo legale (D.L. 201/2011, DM 4/8/2016) | Dati 2.3 |
| Conservazione audit trail SID (10 anni) | Art. 6.1.c — Obbligo legale (art. 43 D.L. 201/2011) | Log audit SID (dati 2.6) |
| Gestione abbonamenti e fatturazione | Art. 6.1.b — Esecuzione del contratto Art. 6.1.c — Obbligo legale (art. 39 DPR 633/72) | Dati 2.5 |
| Invio e-mail transazionali (OTP, inviti, notifiche) | Art. 6.1.b — Esecuzione del contratto | E-mail, contenuto notifica |
| Prevenzione frodi e sicurezza della piattaforma | Art. 6.1.f — Legittimo interesse | Log tecnici (dati 2.6) |
| Supporto tecnico all'utente | Art. 6.1.b — Esecuzione del contratto | Dati 2.1, comunicazioni di supporto |
Nessun trattamento per finalità di marketing o profilazione commerciale. I dati finanziari e fiscali caricati dall'utente non sono mai utilizzati per finalità diverse dall'erogazione del servizio contrattualmente previsto.
4. Responsabili del Trattamento (Sub-Processor)
In conformità all'art. 28 GDPR, il Titolare si avvale dei seguenti Responsabili del Trattamento, ciascuno vincolato da specifico Data Processing Agreement (DPA):
Cloudflare Inc.
101 Townsend St, San Francisco, CA 94107, USA
Ruolo: Infrastruttura cloud (database D1, object storage R2, edge computing Workers, KV store, code di elaborazione, AI inference)
Garanzie trasferimento extra-UE: Clausole Contrattuali Standard (SCC) ex Decisione 2021/914/UE + certificazioni ISO 27001, SOC 2 Type II
Stripe Inc.
510 Townsend Street, San Francisco, CA 94103, USA
Ruolo: Elaborazione pagamenti e gestione abbonamenti
Garanzie trasferimento extra-UE: SCC + certificazione PCI DSS Level 1
DPA / Privacy: stripe.com/privacy
Resend Inc.
2261 Market Street STE 5766, San Francisco, CA 94114, USA
Ruolo: Invio e-mail transazionali (OTP di accesso, inviti team, notifiche di sistema)
Garanzie trasferimento extra-UE: SCC
Privacy: resend.com/privacy
OpenAPI.it (Multis S.r.l.)
Italia
Ruolo: Accesso al Registro Imprese italiano per ricerca dati aziendali (visure, bilanci, titolari effettivi) su richiesta dell'utente
Trasferimento extra-UE: Nessuno — provider italiano
Google LLC
1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Ruolo: Autenticazione OAuth 2.0 (solo per utenti che scelgono il login con Google). Il refresh token Google è conservato cifrato e utilizzato esclusivamente per l'accesso ai servizi Google autorizzati dall'utente.
Garanzie trasferimento extra-UE: SCC + Google Cloud GDPR commitments
DPA: Google Cloud DPA
5. Trasferimenti verso Paesi Terzi
Alcuni Responsabili del Trattamento elencati al punto 4 hanno sede negli Stati Uniti d'America, paese non oggetto di decisione di adeguatezza ai sensi dell'art. 45 GDPR.
I trasferimenti verso tali Responsabili avvengono sulla base delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea con Decisione di esecuzione 2021/914/UE del 4 giugno 2021, garantendo un livello di protezione equivalente a quello assicurato nell'Unione europea.
L'elenco aggiornato dei trasferimenti e delle garanzie è disponibile su richiesta contattando il Titolare.
6. Periodo di Conservazione
| Categoria di dato | Periodo di conservazione | Riferimento normativo |
|---|---|---|
| Dati account (email, nome, password hash) | Durata contratto + 30 giorni dalla cancellazione | Art. 5.1.e GDPR |
| Estratti conto e dati bancari caricati | Durata workspace + 30 giorni dalla cancellazione | Art. 5.1.e GDPR |
| Dati SID (comunicazioni AdE, anagrafiche soggetti) | 10 anni dalla comunicazione | Art. 43 D.L. 201/2011 convertito in L. 214/2011 |
| Audit trail operazioni SID | 10 anni | Art. 43 D.L. 201/2011 |
| Dati di fatturazione e abbonamento | 10 anni | Art. 39 DPR 633/72 (IVA), art. 2220 c.c. |
| Log tecnici di accesso (IP, sessioni) | 6 mesi | Art. 6.1.f GDPR — legittimo interesse sicurezza |
| OTP di autenticazione | 5 minuti (TTL automatico) | Art. 5.1.e GDPR |
| Certificati digitali .p12 | Durata workspace o revoca + 30 giorni | Art. 5.1.e GDPR |
7. Misure Tecniche e Organizzative di Sicurezza
Misure tecniche
- • Crittografia in transito: TLS 1.3 su tutti gli endpoint
- • Crittografia a riposo: AES-256 per file su Cloudflare R2; hash bcrypt per password
- • Autenticazione a due fattori obbligatoria: OTP via e-mail per ogni accesso
- • Isolamento workspace: ogni workspace è logicamente separato; le query filtrano obbligatoriamente per workspace_id
- • Rate limiting: limitazione automatica delle richieste per endpoint sensibili (10 req/min su /auth, 8 req/min su /upload)
- • Certificati .p12 protetti: la password è cifrata prima della memorizzazione
- • WAF e DDoS protection: tramite Cloudflare network
- • Audit trail immutabile per tutte le operazioni SID
Misure organizzative
- • Accesso ai dati di produzione limitato al personale autorizzato
- • Politica di segnalazione degli incidenti di sicurezza ([email protected])
- • Contratti di riservatezza con tutti i collaboratori e sub-processor
- • Revisione periodica delle misure di sicurezza
8. Diritti dell'Interessato
In conformità agli artt. 15–22 del GDPR, l'interessato ha il diritto di:
- • Accesso (art. 15): ottenere conferma del trattamento e copia dei dati personali
- • Rettifica (art. 16): ottenere la correzione di dati inesatti o incompleti
- • Cancellazione (art. 17): richiedere la cancellazione dei dati ("diritto all'oblio"), salvo obblighi legali di conservazione
- • Limitazione (art. 18): richiedere la limitazione del trattamento in presenza di determinate condizioni
- • Portabilità (art. 20): ricevere i propri dati in formato strutturato e di uso comune (JSON/CSV), ove tecnicamente applicabile. Per i dati SID è disponibile l'endpoint
/api/sid/privacy/export - • Opposizione (art. 21): opporsi al trattamento fondato su legittimo interesse, salvo motivi legittimi prevalenti
- • Revoca del consenso (art. 7.3): ove il trattamento sia fondato sul consenso, revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento anteriore
Le richieste possono essere inviate a [email protected]. Il Titolare risponderà entro 30 giorni dalla ricezione (prorogabili di ulteriori 60 giorni in caso di complessità, con comunicazione all'interessato).
Diritto di reclamo: L'interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), Piazza Venezia 11 – 00187 Roma.
9. Cookie e Archiviazione Locale
PongoFin non utilizza cookie di profilazione, tracciamento o marketing di terze parti. L'applicazione utilizza esclusivamente cookie tecnici di sessione e il localStorage del browser per il corretto funzionamento del servizio.
Per informazioni dettagliate, consultare la Cookie Policy.
10. Modifiche alla Privacy Policy
Il Titolare si riserva il diritto di modificare la presente Privacy Policy in qualsiasi momento, per adeguarla a variazioni normative, tecnologiche o operative. Le modifiche sostanziali saranno comunicate agli utenti tramite notifica nell'applicazione o via e-mail con un preavviso di almeno 14 giorni.
La versione aggiornata sarà sempre disponibile a questa pagina con la data di ultimo aggiornamento.
11. Contatti
GP Dev Studio di Giampietro Pregnolato
Partita IVA: 04494300264
Codice fiscale: PRGGPT84S09L175U
Indirizzo: Via Cieca D'Alnè 6, 31020 Vidor (TV), Italia
E-mail: [email protected]