Privacy Policy
Come Flow-e tratta i dati dei merchant e dei loro referenti: account, uso della piattaforma, fatturazione.
Questa informativa è resa ai sensi degli artt. 13-14 del Regolamento (UE) 2016/679 (“GDPR”) e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018 (“Codice Privacy”). Riguarda i dati personali che Flow-e tratta in qualità di Titolare del trattamento: i dati delle aziende clienti (“Merchant”) e dei loro referenti che utilizzano la piattaforma e i siti flow-e.app / app.flow-e.com.
Dove Flow-e agisce invece come Responsabile del trattamento— per i dati dei clienti finali che interagiscono con il widget di chat — si applicano l'Informativa chat per gli utenti finali e il DPA stipulato con ciascun Merchant (vedi punto 2).
1. Titolare del trattamento
- Ragione sociale: FLOW-E S.R.L. — Società a responsabilità limitata
- Sede legale: [INDIRIZZO SEDE]
- P.IVA / C.F.: [P.IVA / C.F.]
- PEC: [PEC]
- Email per richieste privacy: [EMAIL PRIVACY]
Responsabile della protezione dei dati (DPO): non nominato; per ogni questione relativa ai dati personali è possibile contattare il Titolare ai recapiti sopra indicati.
2. Doppio ruolo di Flow-e (leggere con attenzione)
Flow-e tratta dati personali in due vesti distinte:
| Contesto | Dati interessati | Ruolo di Flow-e | Documento applicabile |
|---|---|---|---|
| Account, uso della piattaforma, fatturazione | Dati dei Merchant e dei loro referenti | Titolare | Questa Privacy Policy |
| Conversazioni del widget, profili di preferenza, ticket dei clienti finali | Dati dei clienti finali dei Merchant | Responsabile (per conto del Merchant) | Informativa chat + DPA |
La presente informativa copre solo il primo contesto. Per i dati dei clienti finali del widget il Titolare è il Merchant e Flow-e agisce esclusivamente su sue istruzioni documentate.
3. Categorie di dati trattati
- Dati di registrazione e account: nome e cognome del referente, email, password (in forma cifrata/hash), nome e dati dell'organizzazione, ruolo (owner/admin/member).
- Dati di utilizzo della piattaforma: configurazioni del widget, log tecnici, indirizzo IP, identificativi di sessione, dati di navigazione nella dashboard, preferenze.
- Dati di fatturazione e pagamento: abbonamento, piano, stato dei crediti, dati per i documenti fiscali. I dati della carta sono trattati direttamente da Stripe (punto 7); Flow-e non memorizza i dati completi dello strumento di pagamento.
- Comunicazioni: email transazionali (conferma account, reset password), richieste di assistenza e corrispondenza.
Flow-e non raccoglie intenzionalmente categorie particolari di dati (art. 9 GDPR) relative ai referenti dei Merchant.
4. Finalità e basi giuridiche
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Creazione e gestione account, erogazione del servizio | Esecuzione del contratto — 6(1)(b) |
| Fatturazione, adempimenti contabili e fiscali | Obbligo legale — 6(1)(c) |
| Sicurezza della piattaforma, prevenzione frodi, log, error tracking | Legittimo interesse — 6(1)(f) |
| Risposta a richieste di assistenza | Esecuzione del contratto / misure precontrattuali — 6(1)(b) |
| Comunicazioni di servizio (non promozionali) | Esecuzione del contratto / legittimo interesse — 6(1)(b)/(f) |
| Comunicazioni promozionali sui servizi Flow-e | Consenso — 6(1)(a) (revocabile) |
5. Modalità del trattamento
Il trattamento avviene con strumenti elettronici, secondo i principi dell'art. 5 GDPR. Flow-e adotta misure tecniche e organizzative adeguate (art. 32): cifratura in transito (TLS/HTTPS) e a riposo, cookie di sessione httpOnly, controllo accessi basato su ruoli, isolamento multi-tenant a livello di base dati, autenticazione delle chiamate di backend, backup e test periodici. Il dettaglio è nell'Allegato tecnico del DPA.
6. Destinatari dei dati
I dati possono essere trattati, per conto e su istruzioni di Flow-e, da fornitori (sub-responsabili) o, per alcuni servizi, da Titolari autonomi. I principali:
| Fornitore | Funzione | Ruolo |
|---|---|---|
| Supabase | Autenticazione e hosting base dati (dati a riposo nell'UE — Francoforte) | Responsabile |
| Vercel | Hosting del sito e della dashboard | Responsabile |
| n8n | Orchestrazione delle operazioni di backend | Responsabile |
| Stripe | Elaborazione dei pagamenti | Titolare autonomo per pagamento/antifrode |
| [Provider email] | Invio email transazionali | Responsabile |
L'elenco aggiornato e completo dei fornitori è disponibile su richiesta all'indirizzo [EMAIL PRIVACY]. I dati possono inoltre essere comunicati ad autorità pubbliche ove richiesto dalla legge.
7. Pagamenti (Stripe)
I pagamenti sono gestiti da Stripe Payments Europe, Ltd. (entità UE, Irlanda). Per i dati dello strumento di pagamento Stripe agisce come Titolare autonomo(standard PCI-DSS Livello 1). Flow-e riceve solo i dati necessari alla gestione dell'abbonamento e della fatturazione.
8. Trasferimenti verso Paesi extra-UE
- Dati a riposo (Supabase): ospitati nell'Unione Europea (Francoforte). Per accessi residuali di assistenza extra-UE si applicano le Clausole Contrattuali Tipo (SCC).
- Vercel, Stripe: trasferimenti verso gli USA coperti dal Data Privacy Framework UE-USA, con SCC come garanzia ulteriore.
- Provider email: [SCC / DPF / adeguatezza — da specificare in base al vendor].
Il Data Privacy Framework è oggetto di contenzioso pendente davanti alla Corte di Giustizia UE. Flow-e mantiene in via contrattuale le SCC come garanzia di riserva e monitora l'evoluzione del quadro normativo.
9. Periodi di conservazione
| Categoria | Conservazione |
|---|---|
| Dati di account e configurazione | Per la durata del rapporto; cancellati/anonimizzati entro [es. 90 giorni] dalla cessazione, salvo obblighi di legge |
| Fatturazione e documenti contabili/fiscali | 10 anni dall'ultima registrazione (art. 2220 c.c.) |
| Log tecnici e di sicurezza | [es. 12 mesi], salvo accertamento di incidenti |
| Corrispondenza di assistenza | Per il tempo necessario alla gestione e ai connessi obblighi/contenziosi |
10. Diritti dell'interessato
In relazione ai dati trattati da Flow-e come Titolare, è possibile esercitare i diritti degli artt. 15-22 GDPR:
- accesso (15), rettifica (16), cancellazione (17), limitazione (18), portabilità (20);
- opposizione al trattamento basato sul legittimo interesse (21);
- revoca del consenso in qualsiasi momento, ove applicabile (7(3)).
Le richieste vanno inviate a [EMAIL PRIVACY]. Flow-e risponde entro un mese (prorogabile di due mesi in casi complessi, art. 12(3)).
Se la richiesta riguarda i dati trattati tramite il widget di chat (conversazioni, profili, ticket), Titolare è il Merchant sul cui sito hai usato il widget: la richiesta va indirizzata a quel Merchant, e Flow-e lo assisterà come previsto dal DPA.
11. Reclamo all'autorità di controllo
È sempre possibile proporre reclamo al Garante per la protezione dei dati personali (art. 77 GDPR — garanteprivacy.it) o adire l'autorità giudiziaria (artt. 78-79).
12. Modifiche
Flow-e può aggiornare la presente informativa. La versione vigente è sempre pubblicata sui siti Flow-e con la data di ultimo aggiornamento. Le modifiche sostanziali saranno comunicate tramite i consueti canali di servizio.