Privacy Policy – App Catalogo

Indice

Titolare del Trattamento
Definizioni
Dati raccolti
Finalità e basi giuridiche
Terze parti e trasferimenti
Cookie e tecnologie simili
Conservazione dei dati
Diritti dell'interessato
Minori
Modifiche alla Privacy Policy
Ruoli del trattamento e DPA (Art. 28 GDPR)
Contatti e reclami

1Titolare del Trattamento

Il Titolare del trattamento dei dati personali raccolti tramite il servizio App Catalogo (accessibile su admin.app-catalogo.it e relativi sottodomini *.app-catalogo.it) è:

Ragione sociale	Bello SRL
Partita IVA	04810400160
Sede legale	Via della conca fiorita 1, 24123 Bergamo (BG), Italia
E-mail	giacomo@belloinfo.it
Telefono	+39 333 1061080
Sito web	www.belloinfo.it

2Definizioni

Ai sensi del Regolamento UE 2016/679 (GDPR) si intende per:

Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile.
Interessato: la persona fisica cui si riferiscono i dati personali.
Trattamento: qualsiasi operazione eseguita sui dati personali.
Azienda / Company: il cliente professionale che si registra ad App Catalogo e utilizza la piattaforma per condividere il proprio catalogo digitale.
Cliente finale / Customer: l'utente finale che accede al catalogo di un'Azienda.
Servizio: la piattaforma SaaS App Catalogo.

3Dati raccolti

3.1 Dati forniti direttamente dall'utente

Categoria	Dati	Chi li fornisce
Dati di registrazione Azienda	Nome azienda, Partita IVA, Codice Fiscale, indirizzo, città, CAP, e-mail, password	Azienda (al momento della registrazione)
Dati profilo utente	Nome completo, e-mail, password (hash), ruolo (admin / company / customer)	Utente
Dati cliente finale	E-mail, password (hash), eventuale codice di accesso aziendale	Azienda (crea account clienti) o Cliente stesso
Dati di pagamento	E-mail di fatturazione, stripe_customer_id, stripe_subscription_id (nessun dato di carta memorizzato su nostri server)	Azienda al momento dell'abbonamento
Contenuti caricati	File e documenti caricati dall'Azienda nello spazio di archiviazione privato	Azienda
Comunicazioni	Messaggi inviati via e-mail o moduli di contatto	Qualsiasi utente

3.2 Dati raccolti automaticamente

Log di accesso: indirizzo IP, azione eseguita, timestamp, entità coinvolta, riassunto dell'operazione.
Token di autenticazione: token opachi (hash) memorizzati nel database per mantenere la sessione; data di ultima utilizzo e scadenza.
Dati di sessione: sessione server-side identificata da cookie adonis-session (httpOnly, sameSite=lax).
Dati di utilizzo: spazio di archiviazione utilizzato, numero di file, piano attivo.

3.3 Dati tecnici del sottodominio

Se l'Azienda attiva un sottodominio personalizzato su *.app-catalogo.it, vengono memorizzati: sottodominio richiesto, stato di propagazione DNS, abilitazione HTTPS.

3.4 Dati dei Clienti finali — Informativa art. 14 GDPR

Quando l'Azienda crea account per i propri Clienti finali tramite il pannello di amministrazione, App Catalogo tratta tali dati in qualità di Responsabile del trattamento su istruzione dell'Azienda (si veda §11). Poiché i Clienti finali non forniscono i propri dati direttamente ad App Catalogo, l'obbligo di informativa di cui all'art. 14 GDPR (dati non raccolti direttamente presso l'interessato) ricade integralmente sull'Azienda.

App Catalogo non fornisce e non è tenuta a fornire l'informativa ai Clienti finali dell'Azienda. È compito esclusivo dell'Azienda, in qualità di Titolare, informare i propri Clienti finali del trattamento dei loro dati, indicando App Catalogo come Responsabile del trattamento.

4Finalità e basi giuridiche

Finalità	Base giuridica (GDPR)
Fornitura del Servizio (registrazione, autenticazione, file manager, catalogo)	Art. 6(1)(b) – esecuzione del contratto
Gestione abbonamenti e fatturazione tramite Stripe	Art. 6(1)(b) – esecuzione del contratto
Adempimento di obblighi fiscali e contabili	Art. 6(1)(c) – obbligo legale
Log di audit per sicurezza e integrità del sistema	Art. 6(1)(f) – legittimo interesse
Prevenzione di frodi e abusi (reCAPTCHA)	Art. 6(1)(f) – legittimo interesse
Gestione sottodomini e DNS tramite IONOS	Art. 6(1)(b) – esecuzione del contratto
Assistenza e risposta alle richieste degli utenti	Art. 6(1)(b) / Art. 6(1)(f)
Miglioramento del Servizio (analisi aggregata degli utilizzi)	Art. 6(1)(f) – legittimo interesse
Marketing e comunicazioni promozionali	Art. 6(1)(a) – consenso esplicito

      I dati non vengono mai venduti a terzi né utilizzati per finalità pubblicitarie di terze parti.
    

5Terze parti e trasferimenti extra-UE

Fornitore	Paese	Scopo	Privacy / DPA
Stripe, Inc.	USA	Elaborazione pagamenti e gestione abbonamenti	stripe.com/privacy – SCC
Google LLC (reCAPTCHA v3)	USA	Protezione da bot su form di login e registrazione	Google Privacy Policy – SCC
Google LLC (Maps API)	USA	Visualizzazione mappe (interfaccia admin)	Google Privacy Policy – SCC
IONOS SE	DE / EU	Registrazione e gestione sottodomini DNS	IONOS Privacy Policy

I trasferimenti verso gli USA avvengono sulla base delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea ai sensi dell'art. 46 GDPR.

      I dati personali non vengono comunicati ad altri soggetti terzi, salvo obbligo di legge o ordine dell'autorità giudiziaria.
    

6Cookie e tecnologie simili

6.1 Cookie tecnici (necessari)

Nome	Tipo	Scopo	Durata
`adonis-session`	Session cookie (httpOnly, sameSite=lax)	Mantenere la sessione server-side	2 ore
`XSRF-TOKEN`	Security cookie	Protezione CSRF	Sessione

6.2 Archiviazione locale (localStorage / sessionStorage)

Chiave	Storage	Contenuto
`fsm_auth_token`	localStorage	Bearer token di autenticazione API
Dati utente (JSON)	localStorage	Informazioni profilo utente per la UI
Dati sessione checkout	sessionStorage	Stato temporaneo del flusso di pagamento

6.3 Cookie di terze parti

I seguenti servizi di terze parti possono impostare propri cookie al caricamento di determinate funzionalità. Tali cookie sono soggetti alle rispettive privacy policy e comportano trasferimenti verso gli USA sulla base delle Clausole Contrattuali Standard (SCC).

Fornitore / Servizio	Scopo	Trasferimento	Informativa
Google LLC – reCAPTCHA v3	Verifica anti-bot su form di login e registrazione	USA – SCC	Google Privacy Policy
Google LLC – Maps API	Visualizzazione mappe nell'interfaccia admin; può impostare cookie di terze parti al caricamento della mappa	USA – SCC	Google Privacy Policy

Il Servizio non utilizza cookie di profilazione o di marketing di terze parti.

7Conservazione dei dati

Categoria di dati	Periodo di conservazione
Dati account utente attivo	Per tutta la durata dell'account; cancellati su richiesta o a seguito di cancellazione confermata dell'account
Dati di fatturazione e contabili	10 anni (obbligo di legge ai sensi del D.P.R. 633/1972 e D.P.R. 600/1973)
Log di audit	12 mesi dalla generazione, salvo necessità di conservazione più lunga per indagini di sicurezza
Token di autenticazione	Fino a scadenza o logout; massimo 90 giorni dall'ultimo utilizzo
File caricati dall'Azienda	Fino alla cancellazione da parte dell'Azienda o entro 30 giorni dalla chiusura dell'account
Dati di cookie / sessione	2 ore (scadenza automatica)

8Diritti dell'interessato (artt. 15–22 GDPR)

L'interessato ha il diritto di:

Accesso (art. 15): ottenere conferma del trattamento e copia dei dati.
Rettifica (art. 16): correggere dati inesatti o incompleti.
Cancellazione (art. 17): richiedere la cancellazione dei dati ("diritto all'oblio"), salvo obblighi di legge.
Limitazione (art. 18): richiedere la limitazione del trattamento in determinati casi.
Portabilità (art. 20): ricevere i propri dati in formato strutturato e leggibile da macchina.
Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse.
Revoca del consenso: revocare in qualsiasi momento il consenso prestato (senza pregiudicare la liceità del trattamento precedente).
Reclamo: proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

Decisioni automatizzate e profilazione (art. 22): il Titolare non effettua decisioni basate unicamente su trattamento automatizzato — inclusa la profilazione — che producano effetti giuridici sull'interessato o lo riguardino in modo analogamente significativo.

Per esercitare i propri diritti, inviare richiesta scritta a: giacomo@belloinfo.it

      Le richieste vengono evase entro 30 giorni dal ricevimento, prorogabili di ulteriori 60 giorni in caso di particolare complessità.
    

9Minori

Il Servizio è destinato a professionisti e aziende. Non è consentita la registrazione a persone di età inferiore ai 18 anni. Qualora vengano rilevati dati di minori raccolti inconsapevolmente, saranno eliminati tempestivamente. Per segnalazioni: giacomo@belloinfo.it.

10Modifiche alla Privacy Policy

Il Titolare si riserva il diritto di modificare la presente Privacy Policy in qualsiasi momento, dandone comunicazione agli utenti attraverso il Servizio o via e-mail. La versione aggiornata sarà sempre disponibile su questa pagina con l'indicazione della data di ultima modifica.

L'utilizzo continuato del Servizio dopo la pubblicazione delle modifiche costituisce accettazione della nuova versione.

11Ruoli del trattamento: App Catalogo come Responsabile (Art. 28 GDPR)

11.1 Doppio ruolo di App Catalogo

App Catalogo opera in due distinti ruoli a seconda della categoria di dati trattati:

Categoria di dati	Ruolo di App Catalogo	Ruolo dell'Azienda
Dati dell'Azienda (registrazione, fatturazione, utilizzo del Servizio)	Titolare del trattamento (Controller)	Interessato
Dati dei Clienti finali creati dall'Azienda (e-mail, accessi, file visualizzati)	Responsabile del trattamento (Processor)	Titolare del trattamento (Controller)

11.2 Data Processing Agreement (DPA) — Art. 28 GDPR

Con riferimento ai dati dei Clienti finali, App Catalogo tratta i dati personali unicamente su istruzione documentata dell'Azienda, operando come Responsabile del trattamento ai sensi dell'art. 28 GDPR. Il rapporto è disciplinato dal Data Processing Agreement (DPA) incorporato nei Termini e Condizioni (§16), che costituisce parte integrante del contratto tra App Catalogo e l'Azienda.

Il DPA definisce, tra l'altro:

Le istruzioni documentate che l'Azienda (Titolare) impartisce ad App Catalogo (Responsabile).
Le misure tecniche e organizzative adottate da App Catalogo per garantire la sicurezza dei dati.
Le condizioni per il ricorso a sub-responsabili (es. Stripe, IONOS) e l'elenco dei sub-responsabili autorizzati.
Le procedure per la gestione delle violazioni di dati personali (data breach) e la notifica all'Azienda.
Le modalità di restituzione o cancellazione dei dati al termine del contratto.

11.3 Obblighi dell'Azienda come Titolare

In qualità di Titolare del trattamento dei dati dei propri Clienti finali, l'Azienda è responsabile di:

Fornire ai propri Clienti finali l'informativa sul trattamento ai sensi dell'art. 14 GDPR (dati non raccolti direttamente presso l'interessato).
Assicurarsi di disporre di una base giuridica valida per creare e trattare gli account dei propri Clienti finali.
Rispondere alle richieste di esercizio dei diritti (artt. 15–22 GDPR) avanzate dai propri Clienti finali.
Notificare tempestivamente ad App Catalogo qualsiasi istruzione specifica relativa al trattamento.

L'Azienda, in qualità di Titolare ai sensi dell'art. 14 GDPR, è l'unica responsabile dell'informativa da rendere ai propri Clienti finali. App Catalogo non è tenuta a fornire tale informativa in luogo dell'Azienda.

12Contatti e reclami

Per qualsiasi domanda relativa alla presente Privacy Policy o al trattamento dei dati personali:

E-mail: giacomo@belloinfo.it
Telefono: +39 333 1061080
Indirizzo: Via della conca fiorita 1, 24123 Bergamo (BG), Italia

In alternativa è possibile contattare il Garante per la Protezione dei Dati Personali:

Sito: www.garanteprivacy.it
E-mail: garante@gpdp.it