Informativa sulla privacy (GDPR)
In vigore dal: 26 giugno 2026
La presente è una traduzione in lingua italiana fornita unicamente a scopo informativo. La versione giuridicamente vincolante è l'originale in lingua ceca disponibile all'indirizzo https://veritra.io/gdpr. In caso di discrepanze, prevale il testo ceco.
Il presente documento descrive le modalità con cui il servizio veritra.io tratta i dati personali. L'informativa è conforme al Regolamento (UE) 2016/679 (GDPR) e alla legge ceca sul trattamento dei dati personali (legge n. 110/2019 Racc.).
1. Titolare del trattamento
Il titolare del trattamento ai sensi dell'articolo 4, punto 7) del GDPR è:
- RWX, s.r.o., codice identificativo ceco (IČO): 14235111
- Sede legale: Sadová 1646, 560 02 Česká Třebová, Repubblica Ceca
- Iscritta nel Registro delle imprese presso il Tribunale regionale di Hradec Králové, sezione C, fascicolo 49019
- Email di contatto: michal@veritra.io
- Telefono: +420 608 379 273
Considerata la portata del trattamento, il fornitore non è tenuto a nominare un Responsabile della protezione dei dati (RPD/DPO) ai sensi dell'articolo 37 del GDPR. L'email di contatto sopra indicata è destinata a tutte le questioni relative alla protezione dei dati.
2. Categorie di dati personali trattati
| Categoria | Dati specifici | Finalità |
|---|---|---|
| Registrazione | Email, nome, ragione sociale, codice identificativo dell'azienda (IČO), telefono | Creazione e gestione dell'account, comunicazioni |
| Fatturazione | Indirizzo di fatturazione, posizione IVA, numero di conto bancario | Fatturazione, obblighi contabili |
| Operativi | Indirizzo IP, User-Agent, geolocalizzazione tramite IP, marche temporali | Sicurezza, prevenzione degli abusi, statistiche |
| Autenticazione | Password (sottoposta a hashing), token, chiavi API (sottoposte a hashing) | Accesso, autorizzazione API |
| Contenuti | Configurazione dei filtri, cronologia dei report, query API | Erogazione del servizio |
| Analisi AI (facoltativo) | Questionario aziendale, profilo aziendale, documenti di gara inviati per l'analisi | Valutazione AI dell'idoneità alla gara (su richiesta dell'utente) |
| Comunicazioni | Corrispondenza email, contenuto del modulo di feedback | Assistenza clienti |
| Marketing (facoltativo) | Tracciamento dell'apertura della newsletter | Miglioramento delle comunicazioni |
Le password sono memorizzate sotto forma di hash unidirezionali (bcrypt); il fornitore non visualizza mai le password in chiaro. Le chiavi API sono memorizzate sotto forma di hash SHA-256; dopo la generazione, la chiave viene mostrata all'utente una sola volta e il fornitore non la conserva in chiaro.
3. Finalità e base giuridica
Ciascuna categoria ha la propria base giuridica ai sensi dell'articolo 6 del GDPR:
- Esecuzione del contratto (art. 6, par. 1, lett. b) — dati di registrazione, fatturazione, autenticazione e contenuti.
- Obbligo legale (art. 6, par. 1, lett. c) — conservazione delle registrazioni contabili (10 anni ai sensi della legge n. 563/1991 Racc.).
- Legittimo interesse (art. 6, par. 1, lett. f) — dati operativi per la sicurezza e la prevenzione degli abusi.
- Consenso (art. 6, par. 1, lett. a) — comunicazioni di marketing al di fuori del contratto.
4. Periodi di conservazione
| Categoria | Conservazione |
|---|---|
| Registrazione e contenuti | Durata del contratto + 30 giorni (finestra di esportazione) |
| Documenti contabili | 10 anni dalla fine del periodo contabile |
| Log operativi (IP, UA, marche temporali) | 90 giorni |
| Cronologia delle comunicazioni | 3 anni dall'ultimo contatto |
| Autenticazione (password, chiavi API) | Durata dell'account |
5. Destinatari dei dati (sub-responsabili del trattamento)
| Responsabile del trattamento | Finalità | Ubicazione |
|---|---|---|
| Vercel Inc. (USA) | Web hosting, edge runtime | UE (Francoforte) + fallback USA (CCT) |
| DigitalOcean LLC (USA) | MySQL, object storage | UE (Francoforte) |
| Cloudflare Inc. (USA) | CDN, DDoS, DNS, WAF | Edge globale |
| Upstash Inc. (USA) | Redis per il rate limiting | UE (Francoforte) |
| Stripe Payments Europe Ltd. (Irlanda) | Elaborazione dei pagamenti con carta | UE |
| Resend Inc. (USA) | Email transazionali e di marketing | UE (Francoforte) + USA (CCT) |
| AWS SES (Amazon Web Services EMEA) | Alcune email di sistema, posta in entrata | UE (eu-west-1) |
| Anthropic PBC (USA) | Generazione di contenuti AI per il blog; analisi AI delle gare (su richiesta dell'utente) — trattamento del questionario aziendale, del profilo aziendale e dei documenti della gara analizzata dall'utente, compreso l'invio di tali documenti per la valutazione. Modalità Zero data retention (gli input non vengono utilizzati per l'addestramento e non vengono conservati dopo il trattamento). | USA (CCT) |
| WEDOS Internet, a.s. (Repubblica Ceca) | Registrazione del dominio | Repubblica Ceca |
I sub-responsabili statunitensi sono coperti dalle Clausole contrattuali tipo (CCT/SCC) ai sensi della Decisione di esecuzione della Commissione (UE) 2021/914 e, ove applicabile, dal Data Privacy Framework.
Non condividiamo i dati con inserzionisti, intermediari di dati (data broker) o tracker di terze parti.
6. I tuoi diritti
In qualità di interessato, hai i seguenti diritti ai sensi degli articoli 15-22 del GDPR:
- Diritto di accesso (art. 15) — richiedere una copia di tutti i dati personali che trattiamo sul tuo conto.
- Diritto di rettifica (art. 16) — correggere i dati inesatti. La maggior parte può essere aggiornata direttamente nella dashboard.
- Diritto alla cancellazione (art. 17, "diritto all'oblio") — richiedere la cancellazione. I dati che siamo tenuti a conservare per legge non possono essere cancellati.
- Diritto di limitazione del trattamento (art. 18) — richiedere una limitazione temporanea in caso di contestazione.
- Diritto alla portabilità dei dati (art. 20) — richiedere i tuoi dati in un formato leggibile da dispositivo automatico (JSON o CSV).
- Diritto di opposizione (art. 21) — al trattamento basato sul legittimo interesse.
- Diritto di revocare il consenso (art. 7, par. 3) — per le comunicazioni di marketing, in qualsiasi momento tramite il link di disiscrizione presente in ogni email o nelle impostazioni dell'account.
- Diritto di non essere sottoposto a un processo decisionale automatizzato (art. 22) — non applicabile.
Per esercitare i tuoi diritti, contattaci all'indirizzo michal@veritra.io. Rispondiamo senza ingiustificato ritardo, entro e non oltre 1 mese dal ricevimento della richiesta.
7. Cookie
Utilizziamo esclusivamente cookie strettamente necessari (sessione, CSRF, preferenza linguistica). Tali cookie non richiedono il consenso ai sensi dell'art. 89, par. 3 della legge ceca sulle comunicazioni elettroniche.
I cookie di analisi e marketing di terze parti (Google Analytics, Facebook Pixel) non sono attualmente utilizzati.
8. Sicurezza
Il fornitore adotta misure tecniche e organizzative:
- TLS 1.2+ per tutte le comunicazioni client-server
- bcrypt per le password, SHA-256 per le chiavi API
- Rate limiting e Cloudflare WAF
- Principio del privilegio minimo per l'accesso del personale e dei sub-responsabili
- Backup periodici del database
- Cifratura dell'archiviazione a riposo (Vercel, DigitalOcean, Stripe)
In caso di violazione dei dati personali che possa comportare un rischio elevato per i diritti degli utenti, informeremo gli utenti senza ingiustificato ritardo (art. 34 del GDPR) e segnaleremo l'incidente all'Autorità ceca per la protezione dei dati (Úřad pro ochranu osobních údajů) entro 72 ore (art. 33 del GDPR).
9. Trasferimenti internazionali di dati
Alcuni sub-responsabili hanno sede negli USA. I trasferimenti si basano sulle CCT/SCC ai sensi della Decisione di esecuzione della Commissione (UE) 2021/914 e, ove applicabile, sul Data Privacy Framework.
10. Reclamo all'autorità di controllo
Se ritieni che i tuoi dati siano trattati in violazione del GDPR, puoi presentare un reclamo all'Autorità ceca per la protezione dei dati personali (Czech Data Protection Authority):
- Úřad pro ochranu osobních údajů
- Pplk. Sochora 27, 170 00 Praha 7, Repubblica Ceca
- Web: https://www.uoou.cz
- Email: posta@uoou.cz
11. Modifiche alla presente informativa
La presente Informativa sulla privacy può essere aggiornata. La versione corrente è sempre pubblicata all'indirizzo https://veritra.io/gdpr. Le modifiche sostanziali saranno notificate con 30 giorni di anticipo via email.
Versione 1.1, in vigore dal 26 giugno 2026. Titolare del trattamento: RWX, s.r.o., IČO 14235111. Contatto: michal@veritra.io.