Informativa privacy
Ultimo aggiornamento: 27 aprile 2026
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è QuantivEquity. I dati di contatto del titolare saranno resi disponibili prima dell'avvio del servizio al pubblico.
2. Dati raccolti
Raccogliamo i dati strettamente necessari a fornire il servizio: indirizzo email per l'autenticazione, nome opzionale per personalizzazione, dati di pagamento gestiti esclusivamente dal processore di pagamento, cronologia di accesso ai report per consentirne la ripubblicazione nell'area personale, log tecnici delle richieste di generazione/rinnovo report (timestamp, ticker richiesto, esito) e log di invio email transazionali (welcome, conferma pagamento, recapito PDF).
3. Base giuridica e finalità
Il trattamento è basato sull'esecuzione del contratto (fornitura del servizio), sul consenso esplicito per le comunicazioni di marketing (revocabile in qualsiasi momento) e sull'interesse legittimo per analisi aggregate, prevenzione frodi e contenimento dei costi (rate limiting, kill-switch sul costo cumulato di generazione AI).
4. Conservazione e cancellazione
I dati dell'account vengono conservati finché l'account è attivo, più 24 mesi per ragioni contabili e di contenzioso. L'utente può cancellare il proprio account in qualsiasi momento dalla pagina Profilo nell'area personale: la cancellazione rimuove email, profilo, abbonamento, accessi ai report, code email e job pendenti (cascade su database). I log fiscali necessari ex art. 2220 c.c. vengono conservati anche dopo la cancellazione, in forma minima.
5. Sub-processor (fornitori tecnici)
I tuoi dati sono trattati da QuantivEquity e dai seguenti sub-processor, ognuno legato da contratto GDPR-compliant (DPA — Data Processing Agreement). La lista è aggiornata in trasparenza: ti notificheremo via email se aggiungiamo nuovi fornitori prima che diventino attivi. I trasferimenti verso paesi terzi (in particolare USA) avvengono sotto Standard Contractual Clauses o, dove disponibile, sotto il Data Privacy Framework; per Anthropic Claude è attiva l'esclusione dall'uso dei dati per il training dei modelli.
| Fornitore | Finalità | Regione | Stato |
|---|---|---|---|
| Supabase (Supabase Inc.) | Database utenti, autenticazione, archiviazione PDF report | EU (Frankfurt) | attivo |
| Stripe (Stripe Payments Europe Ltd.) | Elaborazione pagamenti carta + gestione abbonamenti | EU/USA (DPF Privacy Framework) | attivo |
| Vercel (Vercel Inc.) | Hosting frontend del sito | EU (Francoforte) per traffico EU | attivo |
| Resend (Resend Inc.) | Email transazionali (welcome, conferma pagamento, recapito PDF report) | EU/USA (DPF Privacy Framework) | attivo |
| Inngest (Inngest Inc.) | Orchestrazione job asincroni (generazione report, invio email programmate) | USA (Standard Contractual Clauses) | attivo |
| Railway (Railway Corp.) | Hosting del worker di generazione report (pipeline Python) | USA (Standard Contractual Clauses) | attivo |
| Anthropic (Anthropic, PBC) | Generazione testo dei report tramite API Claude. Le richieste includono solo dati pubblici di mercato (bilanci, prezzi) e ticker, mai dati identificativi dell'utente. | USA (Standard Contractual Clauses, opt-out training dati) | attivo |
| EODHD (Financial APIs) | Provider dati finanziari (bilanci, prezzi, multipli) | EU/USA | attivo |
| Sentry (Functional Software Inc.) | Error tracking applicativo. Configurato con scrubbing automatico di header sensibili (Authorization, Cookie, Stripe-Signature), email, IP e password; le sessioni di replay mascherano testo, input e media. | USA (Standard Contractual Clauses) | attivo |
| Plausible (Plausible Insights OÜ) | Analytics privacy-first sul traffico aggregato del sito (no cookie, no profili individuali) | EU (Estonia) | in arrivo |
6. Diritti dell'interessato
Diritto di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione al trattamento. Diritto di reclamo presso il Garante Privacy.