Informativa sulla privacy

Introduzione e titolare del trattamento

La presente Informativa sulla privacy descrive come Gatefund (la "Società", "noi") raccoglie, utilizza e protegge i Suoi dati personali quando utilizza la nostra piattaforma. Gatefund agisce in qualità di titolare del trattamento per i dati personali dei titolari di account e in qualità di responsabile del trattamento per i dati personali caricati dagli utenti nei rispettivi workspace (ad esempio, i contatti di investitori). Rispettiamo il Regolamento generale sulla protezione dei dati dell'UE (GDPR) e le normative nazionali applicabili.

Dati che raccogliamo

Raccogliamo: (a) dati dell'account — nome, email, hash della password, nome del workspace, preferenza di lingua; (b) dati di fatturazione — indirizzo di fatturazione, metadati del metodo di pagamento (gestiti da Stripe; non memorizziamo mai i numeri completi delle carte); (c) dati di utilizzo — pagine visitate, azioni effettuate, indirizzo IP, tipo di browser, identificativi del dispositivo; (d) dati di contenuto — tutto ciò che carica nel Suo workspace (contatti, organizzazioni, interazioni, report, documenti); (e) comunicazioni — email, ticket di supporto e feedback che ci invia; (f) informazioni dell'account Google (quando collega Gmail) — l'indirizzo email del Suo account Google, il nome visualizzato e un token di refresh OAuth utilizzato esclusivamente per inviare le email che attiva esplicitamente. Non accediamo al contenuto della Sua casella Gmail. Per i dettagli completi consulti la sezione «Google API Services User Data» di seguito.

Finalità e basi giuridiche

Trattiamo i Suoi dati personali per le seguenti finalità e basi giuridiche: (i) esecuzione del contratto — per fornire e gestire il Servizio; (ii) interesse legittimo — per proteggere il Servizio, prevenire frodi e migliorare il prodotto; (iii) obbligo legale — per rispettare i requisiti fiscali, contabili e altri obblighi di legge; (iv) consenso — per i cookie non essenziali e le comunicazioni di marketing, ove applicabile. Può revocare il consenso in qualsiasi momento.

Conservazione dei dati

Conserviamo i dati dell'account fintanto che il Suo account è attivo, oltre a un periodo di grazia di 30 giorni dopo la cancellazione. I registri di fatturazione sono conservati per 10 anni per conformità alla normativa contabile francese. I log di utilizzo sono conservati fino a 12 mesi. I dati di contenuto da Lei caricati vengono eliminati quando elimina i relativi record, al termine del periodo di grazia. Può richiedere una cancellazione anticipata ove consentito dalla legge.

Condivisione dei dati e terze parti

Non vendiamo i Suoi dati personali. Li condividiamo solo con i responsabili del trattamento strettamente necessari per operare il Servizio: Supabase (hosting, database — regione UE), Stripe (elaborazione dei pagamenti), fornitori di invio email, Google LLC (Gmail API per l'invio di email di prospezione per Suo conto quando collega il Suo account Google; il trattamento da parte di Google è disciplinato dall'informativa sulla privacy di Google all'indirizzo https://policies.google.com/privacy e dalla Google API Services User Data Policy) e fornitori di analytics se ha prestato il consenso. Tutti i responsabili sono vincolati da accordi di trattamento dei dati. Potremmo divulgare i dati se richiesto dalla legge, da un ordine del tribunale o per tutelare i nostri diritti.

Trasferimenti internazionali

I Suoi dati personali sono archiviati principalmente nell'Unione Europea (regione UE di Supabase, Francia). Alcuni sub-responsabili (ad esempio, Stripe) possono trasferire dati al di fuori dell'UE. In tal caso, ci basiamo sulle decisioni di adeguatezza della Commissione europea o sulle Clausole Contrattuali Standard per garantire un livello adeguato di protezione dei Suoi dati.

Cookie

Utilizziamo cookie e tecnologie analoghe per far funzionare il Servizio (cookie essenziali), per comprendere come viene utilizzato (analytics, previo consenso) e per elaborare pagamenti sicuri (cookie essenziali, inclusi i cookie Stripe per la sicurezza delle transazioni). Per l'elenco completo e le opzioni di gestione delle preferenze, consulti la nostra Informativa sui cookie separata.

Google API Services User Data

Quando collega il Suo account Google a Gatefund (Gmail), l'utilizzo e il trasferimento delle informazioni ricevute dalle API di Google verso qualsiasi altra app sono conformi alla Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), inclusi i requisiti di Limited Use.

A quali dati Google accediamo — Quando autorizza Gatefund ad accedere al Suo account Google, richiediamo i seguenti scope: openid, email, profile (per identificare l'account Google collegato e mostrare il nome e l'indirizzo email dell'account nell'interfaccia di Gatefund) e https://www.googleapis.com/auth/gmail.send (per inviare email per Suo conto ai destinatari che sceglie esplicitamente in Gatefund). Non richiediamo, e non disponiamo, della facoltà di leggere, modificare o eliminare alcuna email nella Sua casella di posta.

Come utilizziamo questi dati — L'indirizzo email collegato e il nome visualizzato sono memorizzati cifrati nel nostro database e mostrati nella nostra interfaccia per confermare l'identità di invio attiva (ad esempio «Invio come: alice@startup.com»). Il token di refresh OAuth è memorizzato cifrato tramite AES-256-GCM con una chiave conservata esclusivamente sui nostri server backend. Non viene mai registrato nei log, mai restituito nelle risposte API e mai condiviso con terze parti. Il token di refresh viene utilizzato esclusivamente per inviare le email che Lei attiva esplicitamente da Gatefund (prospezione manuale verso un contatto, follow-up programmati che configura o email di reporting agli investitori che invia). Non inviamo nulla in modo proattivo.

Conformità Limited Use — L'utilizzo da parte di Gatefund delle informazioni ricevute dalle API di Google è conforme alla Google API Services User Data Policy, inclusi i requisiti di Limited Use. Utilizziamo i dati utente di Google esclusivamente per fornire e migliorare le funzionalità rivolte agli utenti visibili nella nostra interfaccia. Non trasferiamo i dati utente di Google a terze parti se non per fornire o migliorare tali funzionalità o per conformarci alla legge applicabile. Non utilizziamo i dati utente di Google per pubblicare annunci, inclusi retargeting, pubblicità personalizzata o basata sugli interessi. Non consentiamo a persone fisiche di leggere i dati utente di Google, salvo nei seguenti casi limitati: (i) con il Suo consenso esplicito per messaggi specifici, (ii) per finalità di sicurezza (ad esempio, indagine su abusi), (iii) per conformarci alla legge applicabile, oppure (iv) quando i dati sono stati aggregati e anonimizzati.

Archiviazione e conservazione dei dati — I token di refresh sono memorizzati cifrati a riposo. Vengono eliminati immediatamente al momento dell'azione di disconnessione e revocati presso l'endpoint di Google entro 60 secondi dalla richiesta di disconnessione. L'indirizzo email collegato e il nome visualizzato sono conservati per tutto il tempo in cui il Suo account Gatefund è attivo ed eliminati alla cancellazione dell'account entro 30 giorni. Il contenuto delle email inviate non viene conservato sui nostri server al termine della chiamata all'API Gmail — vengono mantenuti solo i metadati (indirizzo del destinatario, oggetto, marca temporale, stato dell'invio) come parte della cronologia CRM dell'utente.

Disconnessione e revoca dell'accesso — Può scollegare il Suo account Google da Gatefund in qualsiasi momento tramite Impostazioni → Email → Disconnetti (questa azione attiva una revoca lato server presso l'endpoint di Google) o direttamente da https://myaccount.google.com/permissions. Entrambe le azioni invalidano immediatamente il token di refresh su entrambi i lati.

I Suoi diritti

Ai sensi del GDPR Lei ha il diritto di: (a) accedere ai dati personali che conserviamo su di Lei; (b) richiedere la rettifica dei dati inesatti; (c) richiedere la cancellazione ("diritto all'oblio"); (d) limitare il trattamento; (e) portabilità dei dati — ricevere i Suoi dati in un formato strutturato e leggibile da dispositivo automatico; (f) opporsi al trattamento basato sul legittimo interesse; (g) revocare il consenso in qualsiasi momento; (h) presentare reclamo all'autorità di controllo locale (in Francia: la CNIL; in Italia: il Garante per la protezione dei dati personali). Per esercitare i Suoi diritti, contatti privacy@gatefund.io.

Misure di sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i Suoi dati personali, tra cui cifratura in transito (TLS) e a riposo, controlli di accesso, backup regolari, logging e monitoraggio e accordi di riservatezza con i dipendenti. Nessun metodo di trasmissione su Internet è sicuro al 100%; non possiamo garantire una sicurezza assoluta, ma applichiamo prassi conformi agli standard del settore.

Privacy dei minori

Il Servizio non è destinato a minori di 16 anni. Non raccogliamo consapevolmente dati personali di minori. Qualora ritenesse che un minore ci abbia fornito dati personali, La preghiamo di contattarci: procederemo tempestivamente alla loro cancellazione.

Modifiche dell'Informativa

Potremmo aggiornare la presente Informativa sulla privacy di tanto in tanto. Le modifiche sostanziali saranno comunicate via email o tramite il Servizio almeno 30 giorni prima della loro entrata in vigore. La data di "Ultimo aggiornamento" in cima alla presente informativa riflette la revisione più recente.

Contatto e DPO

Per qualsiasi domanda sulla presente Informativa sulla privacy o sulle nostre prassi in materia di dati, o per esercitare i Suoi diritti, contatti il nostro team privacy all'indirizzo privacy@gatefund.io. Per richieste relative al GDPR può contattare anche il nostro Responsabile della protezione dei dati all'indirizzo dpo@gatefund.io.