La presente Privacy Policy descrive come Insreminder (di seguito "noi", "nostro" o "Servizio") raccoglie, utilizza, conserva e protegge i dati personali nel rispetto del Regolamento (UE) 2016/679 (GDPR) e della legislazione italiana in materia di protezione dei dati personali.

1. Identificazione del Titolare e del Responsabile del Trattamento

1.1 Insreminder come Titolare del Trattamento

Titolare del Trattamento: Insreminder
Email: insreminder.email@gmail.com

Insreminder è il Titolare del Trattamento dei dati personali degli utenti che si registrano e utilizzano la piattaforma (agenti assicurativi, membri del team, ecc.).

1.2 Dualità di Ruoli per i Dati dei Clienti

• L'Utente (Tu) come Titolare del Trattamento: Quando carichi sulla piattaforma i dati dei tuoi clienti finali (assicurati), tu sei e rimani l'unico Titolare del Trattamento di tali dati personali ai sensi dell'Art. 4(7) del GDPR.
• Insreminder come Responsabile del Trattamento: In relazione ai dati dei tuoi clienti che carichi sulla piattaforma, Insreminder agisce esclusivamente come Responsabile del Trattamento ai sensi dell'Art. 28 del GDPR, trattando tali dati solo ed esclusivamente per tuo conto e secondo le tue istruzioni documentate.

2. Tipologie di Dati Raccolti e Trattati

2.1 Dati dell'Utente (Agente Assicurativo)

A) Dati di Registrazione e Account

• Indirizzo email (utilizzato come identificativo univoco)
• Nome dell'agenzia assicurativa
• Password (memorizzata esclusivamente tramite hash crittografico irreversibile con algoritmo bcrypt o superiore)
• Data e ora di registrazione
• Indirizzo IP al momento della registrazione

B) Dati di Configurazione del Servizio

• Configurazioni SMTP per l'invio email (attraverso SendGrid come provider certificato)
• Preferenze di notifica
• Impostazioni del profilo utente

C) Dati di Pagamento e Fatturazione

• Identificativo cliente fornito dal payment processor (Paddle)
• Identificativo abbonamento
• Piano di abbonamento attivo
• Storico delle transazioni (importi, date, stato)
• NOTA IMPORTANTE: Non raccogliamo, archiviamo né abbiamo accesso ai dati delle carte di credito. Tutti i dati di pagamento sensibili sono gestiti esclusivamente da Paddle (merchant of record) in conformità agli standard PCI-DSS.

2.2 Dati Caricati dall'Utente (Dati dei Clienti dell'Agente)

In qualità di Responsabile del Trattamento, trattiamo i seguenti dati che tu, in qualità di Titolare, carichi sulla piattaforma tramite file CSV o altre modalità:

• Nome e cognome del cliente finale (assicurato)
• Indirizzo email del cliente finale
• Numero di polizza assicurativa
• Tipo/categoria di polizza
• Data di scadenza della polizza
• Eventuali note personalizzate

2.3 Dati Raccolti Automaticamente

• Dati di Log e Accesso: Indirizzo IP, user agent del browser, timestamp di accesso, pagine visitate, azioni eseguite sulla piattaforma
• Cookie Tecnici: Cookie di sessione necessari per il funzionamento del Servizio (non usiamo cookie di profilazione senza consenso)
• Dati di Utilizzo: Statistiche aggregate sull'uso delle funzionalità (numero di campagne create, email inviate, tassi di apertura aggregati)
• Metadati delle Campagne: ID campagna, nome file CSV, numero di record processati, data/ora di esecuzione, stato di completamento

3. Finalità e Base Giuridica del Trattamento

Finalità del Trattamento	Categorie di Dati Trattati	Base Giuridica (Art. 6 GDPR)
Fornitura del Servizio	Dati di account, configurazione, dati clienti caricati	Esecuzione del contratto di cui sei parte (Art. 6.1.b)
Autenticazione e Gestione Account	Email, password (hash), IP di registrazione	Esecuzione del contratto (Art. 6.1.b) + Legittimo interesse alla sicurezza (Art. 6.1.f)
Invio Email di Reminder per tuo conto	Configurazione SMTP, dati clienti	Esecuzione del contratto (Art. 6.1.b) - trattiamo su tue istruzioni come Responsabile
Gestione Pagamenti e Abbonamenti	Dati di fatturazione, ID transazioni	Esecuzione del contratto (Art. 6.1.b) + Obbligo legale fiscale (Art. 6.1.c)
Invio Inviti ai Membri del Team	Email degli invitati	Esecuzione del contratto (Art. 6.1.b) su tua richiesta esplicita
Comunicazioni di Servizio Essenziali	Email	Esecuzione del contratto (Art. 6.1.b)
Sicurezza e Prevenzione Frodi	Dati di log, IP, comportamenti anomali	Legittimo interesse (Art. 6.1.f) alla protezione del servizio e degli utenti
Miglioramento del Servizio	Dati di utilizzo aggregati e anonimizzati	Legittimo interesse (Art. 6.1.f) al miglioramento della piattaforma
Adempimenti Legali e Fiscali	Dati di fatturazione, transazioni	Obbligo legale (Art. 6.1.c)
Marketing Diretto (solo se consenti)	Email	Consenso (Art. 6.1.a) - puoi revocare in qualsiasi momento

4. Responsabilità e Obblighi dell'Utente

4.1 In Qualità di Titolare dei Dati dei Tuoi Clienti

SEI ESCLUSIVAMENTE RESPONSABILE DI:

• Acquisire una base giuridica valida per la raccolta e il trattamento dei dati dei tuoi clienti prima di caricarli su Insreminder
• Fornire un'informativa privacy completa ai tuoi clienti conforme agli Art. 13-14 GDPR, che includa:
  • Identità e dati di contatto del titolare (tu)
  • Finalità del trattamento e base giuridica
  • Eventuali destinatari dei dati (incluso Insreminder come responsabile)
  • Diritti degli interessati
  • Periodo di conservazione
• Garantire l'accuratezza e la liceità dei dati caricati
• Gestire le richieste dei tuoi clienti relative all'esercizio dei diritti GDPR (accesso, rettifica, cancellazione, ecc.)
• Rispettare i principi di minimizzazione caricando solo i dati strettamente necessari
• Informarci immediatamente in caso di violazione della sicurezza che coinvolga i dati che hai caricato

4.2 Limitazioni d'Uso

TI IMPEGNI A NON:

• Caricare dati di persone che non hanno fornito consenso o per cui non hai altra base giuridica valida
• Caricare categorie particolari di dati personali (Art. 9 GDPR: dati sanitari, origine razziale, opinioni politiche, ecc.) senza garanzie adeguate
• Utilizzare il Servizio per attività di spam o invio massivo di comunicazioni non richieste
• Violare diritti di terzi o leggi applicabili

5. Destinatari e Trasferimenti dei Dati

5.1 Categorie di Destinatari

I tuoi dati personali possono essere comunicati ai seguenti destinatari:

• Paddle (Payment Processor): Merchant of record per la gestione di pagamenti e abbonamenti. Paddle è conforme PCI-DSS e agisce come titolare autonomo per i dati di pagamento.
• SendGrid (Email Service Provider): Per l'invio delle email di reminder. SendGrid agisce come sub-responsabile del trattamento e garantisce standard di sicurezza elevati.
• Provider di Hosting Cloud: I dati sono ospitati su server sicuri di provider cloud certificati (Hetzner). Questi provider agiscono come responsabili del trattamento e rispettano standard di sicurezza ISO 27001.
• Personale Autorizzato di Insreminder: Solo il personale strettamente necessario ha accesso ai dati, esclusivamente per finalità di supporto tecnico e manutenzione.
• Autorità Competenti: Quando richiesto per adempiere a obblighi di legge o ordini dell'autorità giudiziaria.

5.2 Trasferimenti Internazionali

I dati sono conservati principalmente su server ubicati nell'Unione Europea. Qualora sia necessario trasferire dati verso paesi terzi (extra-UE), garantiamo che:

• Il trasferimento avvenga verso paesi con decisione di adeguatezza della Commissione UE, o
• Siano implementate garanzie adeguate (Clausole Contrattuali Standard approvate dalla Commissione UE, Art. 46 GDPR)

5.3 Assenza di Vendita di Dati

NON vendiamo, affittiamo o cediamo i tuoi dati personali a terzi per finalità di marketing o profilazione commerciale.

6. Conservazione dei Dati

Categoria di Dati	Periodo di Conservazione	Criterio di Determinazione
Dati dell'account utente	Per tutta la durata del rapporto contrattuale + 90 giorni dalla chiusura account	Necessità di fornire il servizio + tempo ragionevole per eventuale ripensamento
Dati dei clienti caricati	Per tutta la durata del rapporto contrattuale + 90 giorni dalla chiusura account	Trattiamo su tue istruzioni come Responsabile; puoi richiedere cancellazione anticipata
Dati di fatturazione e pagamento	10 anni dalla transazione	Obblighi fiscali e contabili previsti dalla legge italiana
Dati di log e sicurezza	12 mesi	Necessità di sicurezza e prevenzione frodi
Dati aggregati e anonimizzati	Conservazione illimitata	Dati non più riconducibili a persona identificata (Art. 4.1 GDPR non applicabile)

Cancellazione Account: Alla chiusura del tuo account, procederemo alla cancellazione sicura e definitiva di tutti i tuoi dati personali entro 90 giorni, salvo quelli soggetti a obblighi di conservazione legale.

7. Misure di Sicurezza

Implementiamo misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, ai sensi dell'Art. 32 GDPR:

7.1 Misure Tecniche

• Cifratura:
  • Cifratura dei dati in transito tramite protocollo HTTPS/TLS 1.2 o superiore
  • Cifratura dei dati sensibili at-rest (database)
  • Password memorizzate con hash bcrypt (cost factor minimo 10)
• Controllo degli Accessi:
  • Principio del privilegio minimo per il personale autorizzato
  • Timeout automatico delle sessioni inattive
• Monitoraggio e Logging: Sistema di monitoraggio continuo per rilevare accessi anomali e tentativi di intrusione
• Backup: Backup regolari automatizzati con cifratura, conservati in location geograficamente separate
• Firewall e Protezioni: Firewall applicativi, protezione DDoS, scansioni periodiche delle vulnerabilità

8. Diritti dell'Interessato

Ai sensi degli Art. 15-22 del GDPR, hai i seguenti diritti:

8.1 Diritto di Accesso (Art. 15)

Puoi richiedere conferma dell'esistenza di dati personali che ti riguardano e ottenerne copia. Ti forniremo informazioni su:

• Finalità del trattamento
• Categorie di dati trattati
• Destinatari dei dati
• Periodo di conservazione
• Diritti esercitabili

8.2 Diritto di Rettifica (Art. 16)

Puoi richiedere la correzione di dati inesatti o l'integrazione di dati incompleti. Puoi aggiornare molti dati direttamente dal tuo profilo utente.

8.3 Diritto alla Cancellazione ("Diritto all'Oblio", Art. 17)

Puoi richiedere la cancellazione dei tuoi dati quando:

• Non sono più necessari rispetto alle finalità
• Revochi il consenso (se il trattamento si basava su consenso)
• Ti opponi al trattamento e non sussistono motivi legittimi prevalenti
• I dati sono stati trattati illecitamente
• La cancellazione è richiesta per adempiere un obbligo legale

Eccezioni: Non possiamo cancellare dati necessari per adempiere obblighi legali (es. dati fiscali da conservare 10 anni).

8.4 Diritto di Limitazione del Trattamento (Art. 18)

Puoi richiedere la limitazione del trattamento quando:

• Contesti l'esattezza dei dati (per il periodo necessario alla verifica)
• Il trattamento è illecito ma non vuoi la cancellazione
• I dati non sono più necessari a noi ma servono a te per difesa in giudizio
• Ti sei opposto al trattamento (in attesa della verifica)

8.5 Diritto alla Portabilità dei Dati (Art. 20)

Hai diritto di ricevere i dati che ti riguardano in formato strutturato, di uso comune e leggibile da dispositivo automatico (es. CSV, JSON) e di trasmetterli a un altro titolare, quando tecnicamente possibile.

8.6 Diritto di Opposizione (Art. 21)

Puoi opporti in qualsiasi momento al trattamento basato su legittimo interesse (Art. 6.1.f). Cesseremo il trattamento salvo motivi legittimi cogenti che prevalgano sui tuoi interessi.

Marketing Diretto: Hai sempre il diritto di opporti al trattamento per finalità di marketing diretto, inclusa la profilazione connessa.

8.7 Diritto di Revoca del Consenso (Art. 7.3)

Quando il trattamento si basa sul consenso, puoi revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.

8.8 Processo Decisionale Automatizzato (Art. 22)

Non effettuiamo processi decisionali interamente automatizzati (inclusa la profilazione) che producano effetti giuridici o significativi sulla tua persona.

8.9 Come Esercitare i Tuoi Diritti

Per esercitare i tuoi diritti, puoi:

• Inviarci una richiesta a: insreminder.email@gmail.com
• Accedere alle funzionalità del tuo account per modificare/cancellare dati autonomamente (ove disponibile)

Risponderemo alle tue richieste entro 30 giorni (estendibili a 60 giorni in casi complessi, con comunicazione preventiva). La risposta è gratuita salvo richieste manifestamente infondate o eccessive.

8.10 Diritto di Reclamo

Hai sempre il diritto di proporre reclamo all'Autorità di controllo competente:

Garante per la Protezione dei Dati Personali
Piazza Montecitorio n. 121 - 00186 Roma
Tel: +39 06.696771
Fax: +39 06.69677785
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Web: www.garanteprivacy.it

9. Cookie e Tecnologie di Tracciamento

9.1 Cookie Utilizzati

Cookie Tecnici (Strettamente Necessari)

• Cookie di Sessione: Necessari per l'autenticazione e il funzionamento del servizio. Non richiedono consenso (considerato implicito nell'uso del servizio).
• Durata: Sessione (cancellati alla chiusura del browser)
• Finalità: Mantenere l'utente autenticato durante la navigazione

Cookie Analitici (Google Analytics)

• Utilizziamo Google Analytics con anonimizzazione IP attivata
• Finalità: Statistiche aggregate sull'uso del sito (pagine visitate, tempo di permanenza)
• Base giuridica: Consenso (richiesto tramite banner cookie)
• Durata: 24 mesi
• Puoi opporti tramite le impostazioni del banner cookie o disabilitando i cookie nel browser

NON utilizziamo:

• Cookie di profilazione per marketing comportamentale
• Cookie di terze parti per pubblicità personalizzata
• Tecnologie di tracciamento invasive (fingerprinting, canvas fingerprinting)

9.2 Gestione dei Cookie

Puoi gestire o disabilitare i cookie attraverso:

• Le impostazioni del tuo browser (ogni browser ha procedure diverse)
• Il banner cookie presente sul sito (per revocare il consenso)
• Strumenti di opt-out specifici per Google Analytics: Google Analytics Opt-out

10. Minori

Il Servizio non è destinato a minori di 18 anni. Non raccogliamo consapevolmente dati personali di minori. Se veniamo a conoscenza di aver raccolto dati di un minore senza consenso genitoriale, procederemo alla cancellazione immediata di tali dati.

11. Modifiche alla Privacy Policy

Ci riserviamo il diritto di modificare o aggiornare questa Privacy Policy in qualsiasi momento per:

• Adeguarla a cambiamenti normativi
• Riflettere modifiche alle nostre pratiche di trattamento dati
• Migliorare la chiarezza e la trasparenza

Notifica delle Modifiche:

• Le modifiche sostanziali ti verranno comunicate via email almeno 15 giorni prima dell'entrata in vigore
• Le modifiche minori (correzioni, chiarimenti) saranno pubblicate sul sito con aggiornamento della "Data di Ultima Modifica"
• L'uso continuato del Servizio dopo l'entrata in vigore delle modifiche costituisce accettazione della nuova Privacy Policy
• Se non accetti le modifiche, dovrai cessare l'uso del Servizio e potrai richiedere la cancellazione del tuo account

12. Data Protection Officer (DPO)

Al momento, data la dimensione e la natura della nostra organizzazione, non siamo obbligati a nominare un Data Protection Officer ai sensi dell'Art. 37 GDPR. Tutte le comunicazioni relative alla protezione dati possono essere inviate all'indirizzo email del Titolare indicato in questa policy.

13. Clausole di Limitazione della Responsabilità

13.1 Responsabilità sui Dati Caricati dall'Utente

INSREMINDER NON È RESPONSABILE PER:

• La liceità del trattamento dei dati dei clienti che tu carichi sulla piattaforma
• L'esattezza, la completezza o la qualità di tali dati
• Eventuali violazioni delle normative privacy commesse da te nella raccolta o gestione dei dati dei tuoi clienti
• Richieste, reclami o azioni legali da parte dei tuoi clienti relative ai loro dati personali
• Danni derivanti da errori nei dati che hai caricato (es. email errate, date sbagliate)

13.2 Limitazioni Tecniche

Pur implementando le migliori pratiche di sicurezza, nessun sistema è assolutamente sicuro. Non possiamo garantire che:

• I dati non saranno mai oggetto di accessi non autorizzati nonostante le nostre misure di sicurezza
• Il Servizio sarà sempre disponibile senza interruzioni (manutenzioni, problemi tecnici)
• Non si verificheranno perdite di dati in circostanze eccezionali (pur avendo backup regolari)

13.3 Comportamenti dell'Utente

SEI RESPONSABILE DI:

• Mantenere sicure e riservate le tue credenziali di accesso
• Segnalarci immediatamente accessi non autorizzati al tuo account
• Utilizzare il Servizio in conformità con le leggi applicabili
• Effettuare backup dei tuoi dati prima di caricarli sulla piattaforma

14. Legge Applicabile e Giurisdizione

Questa Privacy Policy è regolata dalla legge italiana e dal GDPR. Per qualsiasi controversia relativa all'interpretazione o all'esecuzione di questa Privacy Policy, sarà competente in via esclusiva il Foro di Ferrara, salvo diverse norme imperative di legge.

15. Contatti

Per qualsiasi domanda, richiesta o comunicazione relativa a questa Privacy Policy o al trattamento dei tuoi dati personali, puoi contattarci a:

Insreminder
Email: insreminder.email@gmail.com

Tempo di risposta: Ci impegniamo a rispondere alle tue richieste entro 30 giorni lavorativi dalla ricezione (estendibili a 60 giorni in caso di complessità, con comunicazione preventiva).