Informativa sulla Privacy
Ultimo aggiornamento: 20 maggio 2026
1. Titolare del Trattamento
cepaos LLC, societa a responsabilita limitata costituita nello Stato del Wyoming, Stati Uniti, e il titolare del trattamento dei dati personali raccolti attraverso la piattaforma cepaos ("la Piattaforma").
- E-mail di contatto: privacidad@cepaos.com
- Responsabile della protezione dei dati: dpo@cepaos.com
Rappresentante UE (Art. 27 GDPR): La designazione di un rappresentante nell'Unione Europea ai sensi dell'articolo 27 del Regolamento Generale sulla Protezione dei Dati e in fase di formalizzazione. I dati di contatto definitivi saranno pubblicati entro 14 giorni. Nel frattempo, le richieste relative alla protezione dei dati dei residenti UE possono essere inviate a privacy@cepaos.com.
2. Dati Personali Raccolti
2.1 Dati Forniti dall'Utente
- Nome completo e ruolo
- Indirizzo e-mail
- Numero di telefono (facoltativo)
- Nome dell'organizzazione, codice fiscale (CUIT/NIF) e indirizzo fiscale
- Informazioni di fatturazione e metodi di pagamento (elaborati da dLocalGo)
- Dati del profilo e preferenze dell'account
2.2 Dati Raccolti Automaticamente
- Indirizzo IP e dati di geolocalizzazione approssimativa
- Tipo di browser e sistema operativo
- Pagine visitate, tempo di permanenza e flussi di navigazione
- Identificatori del dispositivo e cookie (v. Informativa sui Cookie)
- Registri di accesso e log di sicurezza
2.3 Dati dell'Organizzazione
L'Utente puo inserire dati operativi della propria organizzazione (inventari, lotti, processi produttivi, dati commerciali). Questi dati sono trattati in conformita ai Termini e Condizioni e all'Accordo Quadro di Servizio applicabile. cepaos tratta tali dati come informazioni riservate del Cliente.
3. Basi Giuridiche del Trattamento
Trattiamo i dati personali sulla base delle seguenti basi giuridiche:
- Esecuzione contrattuale: per fornire il servizio contrattualizzato e gestire l'account dell'Utente.
- Consenso: per comunicazioni di marketing, analitica non essenziale e cookie facoltativi. Il consenso puo essere revocato in qualsiasi momento.
- Interesse legittimo: per migliorare la sicurezza della piattaforma, prevenire frodi e generare analisi aggregate.
- Obbligo di legge: per adempiere agli obblighi fiscali, ai registri contabili e alle richieste delle autorita competenti.
4. Finalita del Trattamento
- Fornire e mantenere il servizio della Piattaforma
- Gestire l'account, l'autenticazione e il controllo degli accessi
- Elaborare pagamenti e fatturazione tramite dLocalGo
- Inviare notifiche operative e di sicurezza
- Fornire supporto tecnico all'Utente
- Migliorare la Piattaforma tramite analitica aggregata e anonimizzata
- Adempiere agli obblighi legali e normativi
- Prevenire frodi e garantire la sicurezza della Piattaforma
- Inviare comunicazioni di marketing (solo con consenso)
5. Condivisione dei Dati
cepaos non vende dati personali. Condividiamo i dati esclusivamente con:
5.1 Sub-responsabili
I seguenti fornitori trattano dati personali per conto di cepaos in base ad accordi di trattamento (DPA) e, ove applicabile, in base alle Clausole Contrattuali Standard (CCS) della Commissione europea o tramite adesione al EU-U.S. Data Privacy Framework come meccanismo di trasferimento internazionale.
| Fornitore | Funzione | Ubicazione | Base / meccanismo legale |
|---|---|---|---|
| Stripe Inc. | Processore di pagamento (non-LATAM) | Stati Uniti | EU-U.S. DPF + CCS + Stripe DPA |
| dLocal Pty Ltd | Processore di pagamento (LATAM) | Uruguay | Adeguatezza GDPR (Decisione UE 2012) + DPA |
| Supabase Inc. | Database e autenticazione | USA / UE | CCS + Supabase DPA |
| Railway Corp. | Hosting dell'applicazione | Stati Uniti | CCS + Railway DPA |
| Cloudflare Inc. | CDN e protezione DDoS | Stati Uniti (rete globale) | EU-U.S. DPF + CCS + Cloudflare DPA |
| Upstash Inc. | Cache e rate limiting (Redis) | Stati Uniti | CCS + Upstash DPA |
| Resend Inc. | Email transazionale | Stati Uniti | CCS + Resend DPA |
| Sentry / Functional Software | Monitoraggio errori | Stati Uniti | CCS + Sentry DPA |
| PostHog Inc. | Analitica di prodotto (con consenso) | Stati Uniti / UE | CCS + PostHog DPA |
Dati condivisi con Stripe (Utenti non-LATAM): email dell'amministratore, nome dell'organizzazione, Stripe Customer ID e Stripe PaymentMethod ID (tokenizzato). cepaos non riceve ne memorizza il numero di carta.
Dati condivisi con dLocal Go (Utenti LATAM): email dell'amministratore, identificativo cliente e token di carta. cepaos non riceve ne memorizza il numero di carta.
5.2 Autorita
Potremmo divulgare dati personali se richiesto da un ordine giudiziario, richiesta di un'autorita competente o quando necessario per proteggere i diritti, la proprieta o la sicurezza di cepaos, dei nostri utenti o del pubblico.
6. Trasferimenti Internazionali
I dati personali possono essere trasferiti in paesi al di fuori della giurisdizione dell'Utente, compresi gli Stati Uniti. Applichiamo le seguenti garanzie:
- Clausole contrattuali tipo (SCC) approvate dalla Commissione Europea
- Valutazioni d'impatto dei trasferimenti ove applicabile
- Accordi sul trattamento dei dati (DPA) con tutti i sub-responsabili
- Crittografia in transito (TLS 1.3) e a riposo (AES-256)
7. Conservazione dei Dati
- Dati dell'account: per la durata dell'abbonamento piu 30 giorni dopo la cancellazione.
- Registri di fatturazione: 10 anni (obbligo legale fiscale).
- Log di sicurezza: 12 mesi.
- Dati di analitica: 24 mesi in forma aggregata e anonimizzata.
- Backup: eliminati entro 90 giorni dall'eliminazione dei dati originali.
8. Sicurezza
Implementiamo misure tecniche e organizzative per proteggere i dati personali, tra cui:
- Crittografia in transito (TLS 1.3) e a riposo (AES-256)
- Isolamento multi-tenant con Row Level Security (RLS) in PostgreSQL
- Autenticazione con token sicuri tramite Supabase Auth
- Rate limiting e protezione contro attacchi brute force
- Monitoraggio continuo della sicurezza e avvisi automatizzati
- Controllo degli accessi basato sui ruoli (RBAC)
- Audit periodici di sicurezza
9. Diritti degli Interessati
Ai sensi della normativa applicabile, l'Utente dispone dei seguenti diritti:
- Accesso: richiedere una copia dei dati personali in nostro possesso.
- Rettifica: correggere dati inesatti o incompleti.
- Cancellazione: richiedere l'eliminazione dei dati personali.
- Portabilita: ricevere i dati in formato strutturato e leggibile da dispositivo automatico (CSV, JSON).
- Opposizione: opporsi al trattamento fondato sull'interesse legittimo.
- Limitazione: limitare temporaneamente il trattamento in determinati casi.
- Revoca del consenso: revocare il consenso in qualsiasi momento senza pregiudicare la liceita del trattamento precedente.
Per esercitare questi diritti, contattare privacidad@cepaos.com. Risponderemo entro un mese dalla ricezione della richiesta (Art. 12 GDPR).
10. Conformita per Giurisdizione
GDPR Unione Europea / Spazio Economico Europeo
Per gli utenti nell'UE/SEE, cepaos e conforme al Regolamento Generale sulla Protezione dei Dati (GDPR). Basi giuridiche: articoli 6(1)(a) consenso, 6(1)(b) esecuzione contrattuale, 6(1)(c) obbligo di legge, 6(1)(f) interesse legittimo. I trasferimenti al di fuori del SEE vengono effettuati mediante clausole contrattuali tipo (SCC). L'Utente ha il diritto di presentare un reclamo all'autorita di controllo del proprio paese di residenza.
LGPD Brasile
Per gli utenti in Brasile, cepaos e conforme alla Lei Geral de Protecao de Dados (LGPD). L'Utente puo esercitare i diritti previsti dall'articolo 18 della LGPD. Il consenso e richiesto ai sensi dell'articolo 7 della LGPD. I reclami possono essere presentati all'ANPD (Autoridade Nacional de Protecao de Dados).
California, Stati Uniti
Per i residenti della California, cepaos e conforme al California Consumer Privacy Act (CCPA) e al California Privacy Rights Act (CPRA). cepaos non vende ne condivide dati personali come definito dal CCPA/CPRA. I residenti della California hanno il diritto di conoscere, cancellare e rifiutare la vendita dei dati personali. Per esercitare questi diritti: privacidad@cepaos.com.
POPIA Sudafrica
Per gli utenti in Sudafrica, cepaos e conforme al Protection of Personal Information Act (POPIA). Il responsabile delle informazioni puo essere contattato all'indirizzo dpo@cepaos.com. I reclami possono essere presentati all'Information Regulator.
Ley 25.326 Argentina
cepaos e conforme alla Ley 25.326 de Proteccion de Datos Personales e al suo Decreto Regolamentare 1558/2001. Il titolare dei dati puo esercitare i diritti di accesso, rettifica e cancellazione previsti dagli articoli 14, 16 e 17 della legge. L'Agencia de Acceso a la Informacion Publica (AAIP) e l'autorita di controllo. Iscrizione AAIP RNBD in corso — numero ufficiale in attesa (Prat. N° 291 del 29/03/2026).
11. Minori
La Piattaforma e destinata esclusivamente ad operazioni commerciali (B2B) e non raccoglie intenzionalmente dati di persone di eta inferiore ai 18 anni. Qualora venissimo a conoscenza di aver raccolto dati di un minore, procederemo alla loro eliminazione immediata.
12. Modifiche alla presente Informativa
cepaos puo aggiornare periodicamente la presente Informativa sulla Privacy. Le modifiche saranno notificate con almeno 30 giorni di anticipo via e-mail e/o avviso sulla Piattaforma. La data dell'ultimo aggiornamento e indicata all'inizio di questo documento.
13. Contatto
Per domande relative alla privacy e alla protezione dei dati:
- Privacy: privacidad@cepaos.com
- DPO: dpo@cepaos.com
- cepaos LLC — Wyoming, Stati Uniti
Questi termini possono essere aggiornati periodicamente. La versione vigente è quella pubblicata su cepaos.com. Per domande legali, scrivere a legal@cepaos.com.