Privacy Policy

1. Titolare del trattamento

Il titolare del trattamento dei dati personali trattati per la gestione del sito, degli account e delle comunicazioni relative ad AuditReady è [ragione sociale], con sede legale in [sede legale], P.IVA [P.IVA], email privacy privacy@auditready.it.

Quando AuditReady tratta dati caricati dagli utenti EGE per conto dei loro clienti, AuditReady opera come responsabile del trattamento ai sensi dell’art. 28 GDPR. L’EGE rimane titolare del trattamento rispetto ai dati dei propri clienti finali.

2. Dati personali trattati

AuditReady può trattare dati di registrazione e account, inclusi nome, cognome, indirizzo email, organizzazione di appartenenza, password conservata in forma di hash e preferenze operative dell’account.

Per finalità di sicurezza, funzionamento e prevenzione degli abusi possono essere trattati dati di utilizzo, come log di accesso, indirizzo IP, user agent, timestamp, eventi applicativi e informazioni tecniche relative alle richieste effettuate verso il Servizio.

Gli utenti EGE possono caricare documenti aziendali e dati dei clienti finali, inclusi bollette, allegati tecnici, riferimenti di pratica, nominativi e recapiti di referenti aziendali. Tali documenti possono contenere dati personali di intestatari persone fisiche o altri dati personali inseriti nel documento originario.

3. Finalità e basi giuridiche

I dati account sono trattati per creare e gestire l’account, erogare il Servizio, autenticare gli utenti, fornire assistenza e adempiere a obblighi contrattuali o precontrattuali. La base giuridica è l’esecuzione del contratto o di misure precontrattuali richieste dall’interessato.

I dati di utilizzo e i log tecnici sono trattati per sicurezza, manutenzione, debug, prevenzione di accessi non autorizzati e miglioramento del Servizio. La base giuridica è il legittimo interesse del titolare a mantenere un servizio sicuro, affidabile e adeguato.

I dati caricati dagli EGE sono trattati per eseguire le attività richieste dall’utente, come raccolta documentale, classificazione, estrazione dati, generazione di export e gestione della pratica. In questo caso AuditReady agisce come responsabile del trattamento sulla base delle istruzioni documentate del cliente EGE.

Eventuali cookie o strumenti di tracciamento non essenziali saranno usati solo previo consenso dell’utente, ove richiesto dalla normativa applicabile.

4. Conservazione dei dati

I dati account sono conservati fino alla cancellazione dell’account e, successivamente, per il tempo tecnico necessario alla rimozione dai backup, di norma non superiore a 30 giorni, salvo obblighi di legge o necessità di tutela dei diritti.

I documenti e i dati delle pratiche sono conservati fino alla cancellazione della pratica da parte dell’utente EGE o fino alla cessazione del rapporto contrattuale, secondo le istruzioni del cliente e nei limiti tecnici del Servizio.

I log tecnici sono conservati per il periodo ragionevolmente necessario a garantire sicurezza, diagnosi e continuità operativa, salvo conservazioni ulteriori richieste per accertare o difendere un diritto.

5. Fornitori e trasferimenti extra-UE

AuditReady può avvalersi di fornitori tecnici per hosting, database, invio email e funzionalità di intelligenza artificiale. In particolare, possono essere coinvolti Supabase, Vercel, Anthropic e Resend secondo le rispettive funzioni tecniche.

Alcuni fornitori, tra cui Anthropic e Resend, possono comportare trasferimenti di dati personali verso gli Stati Uniti o altri Paesi extra-UE. Quando necessario, tali trasferimenti sono regolati tramite Clausole Contrattuali Standard approvate dalla Commissione Europea e ulteriori misure di sicurezza proporzionate al rischio.

6. Diritti dell’interessato

Nei limiti previsti dal GDPR, l’interessato può richiedere accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati e opposizione al trattamento. Quando il trattamento si basa sul consenso, l’interessato può revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.

Per esercitare i diritti è possibile scrivere a privacy@auditready.it. Se la richiesta riguarda dati caricati da un EGE per conto di un proprio cliente, AuditReady potrà indirizzare la richiesta al relativo titolare del trattamento o assisterlo secondo le istruzioni ricevute.

L’interessato ha inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali.

7. Sicurezza

AuditReady adotta misure tecniche e organizzative ragionevoli rispetto alla fase del prodotto, tra cui cifratura del traffico tramite HTTPS, controlli di accesso, separazione multi-tenant tramite policy RLS, password conservate come hash e limitazione degli accessi amministrativi.