Informativa Privacy

Lo scopo del presente documento (di seguito "Informativa Privacy") è di informare gli Utenti sui dati personali, intesi come qualsiasi informazione che permette l'identificazione di una persona fisica (di seguito i "Dati Personali"), raccolti dal sito web https://www.anyletters.it e dall'applicazione https://app.anyletters.it (di seguito "Applicazione").

Il Titolare del Trattamento, come successivamente identificato, potrà modificare o semplicemente aggiornare, in tutto o in parte, la presente Informativa dandone informazione agli Utenti. Le modifiche e gli aggiornamenti saranno vincolanti non appena pubblicati sull'Applicazione. L'Utente è pertanto invitato a leggere l'Informativa Privacy ad ogni accesso all'Applicazione.

Nel caso di mancata accettazione delle modifiche apportate all'Informativa Privacy, l'Utente è tenuto a cessare l'utilizzo di questa Applicazione e può richiedere al Titolare del Trattamento di rimuovere i propri Dati Personali.

Il Titolare raccoglie le seguenti tipologie di Dati Personali:

Contenuti e informazioni forniti volontariamente dall'Utente: sono quei Dati Personali che l'Utente volontariamente fornisce all'Applicazione durante il suo utilizzo, quali ad esempio dati anagrafici (nome, cognome, ragione sociale), recapiti (email, telefono, indirizzo di fatturazione), credenziali di accesso ai servizi e/o prodotti forniti, dati fiscali (Partita IVA, Codice Fiscale), informazioni di pagamento (gestite da provider esterni certificati PCI-DSS), liste di contatti e relativi dati, contenuti delle campagne email (testi, immagini, template), configurazioni di automazioni e workflow, tag e segmentazioni applicate ai contatti, form e popup creati, preferenze di configurazione dell'account, contenuto delle richieste di supporto, allegati e screenshot forniti, cronologia delle conversazioni con il supporto, interessi e preferenze personali e altri contenuti personali.

Dati personali raccolti dai social media: gli Utenti possono condividere con l'Applicazione dati forniti ai social media. L'Utente ha facoltà di controllare i Dati Personali a cui l'Applicazione può accedere tramite le impostazioni sulla privacy disponibili nei social media in questione.

Il mancato conferimento da parte dell'Utente dei Dati Personali, per i quali sussiste l'obbligo legale, contrattuale o qualora costituiscano requisito necessario per l'utilizzo del servizio o per la conclusione del contratto, comporterà l'impossibilità del Titolare di erogare in tutto o in parte i propri servizi.

L'Utente che comunichi al Titolare Dati Personali di terzi è direttamente ed esclusivamente responsabile della loro provenienza, raccolta, trattamento, comunicazione o diffusione.

Dati e contenuti acquisiti automaticamente durante l'utilizzo dell'Applicazione: i sistemi informatici e le procedure software preposte al funzionamento di questa Applicazione possono acquisire, nel corso del loro normale esercizio, alcuni Dati Personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione internet. Si tratta di informazioni che non sono raccolte per essere associate a Utenti identificati, ma che per la loro stessa natura, potrebbero, attraverso elaborazioni ed associazioni con Dati detenuti da terzi, permettere di identificare gli Utenti. In questa categoria rientrano gli indirizzi IP, i nomi di dominio utilizzati dagli Utenti che si connettono all'Applicazione, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto, il codice numerico indicante lo stato della risposta data dal server, user agent del browser, sistema operativo, tipo e versione del browser, risoluzione dello schermo, fuso orario, lingua del browser, provider di servizi internet (ISP).

Possono essere raccolti anche Dati Personali relativi all'utilizzo dell'Applicazione da parte dell'Utente, quali ad esempio le pagine visitate, le azioni compiute (creazione campagne, invii, etc.), le funzionalità e i servizi utilizzati, tempo di permanenza sulla piattaforma, frequenza di utilizzo, errori e crash dell'applicazione, performance e tempi di caricamento, statistiche di invio (email inviate, consegnate, bounce), tassi di apertura e click, geolocalizzazione delle aperture (paese, città), dispositivi utilizzati per aprire le email, client email utilizzati, timestamp delle interazioni.

Dati personali raccolti tramite cookie o tecnologie simili: l'Applicazione usa cookie, web beacon, identificatori univoci e altre analoghe tecnologie per raccogliere Dati Personali sulle pagine, sui collegamenti visitati e sulle altre azioni che si eseguono quando si utilizzano i nostri servizi. Essi vengono memorizzati per essere poi ritrasmessi alla successiva visita del medesimo Utente. L'Utente può prendere visione della Cookie Policy completa al seguente indirizzo: https://www.anyletters.it/cookie-policy.

I Dati Personali raccolti possono essere utilizzati per l'esecuzione di obblighi contrattuali e precontrattuali e per obblighi di legge nonché per le seguenti finalità:

Registrazione ed autenticazione dell'Utente: per consentire all'Utente di registrarsi sull'Applicazione per accedere e essere identificato, creare e gestire l'account dell'Utente, fornire accesso alla piattaforma di email marketing.

Supporto e contatto con l'Utente: per rispondere alle richieste dell'Utente e aiutarlo in caso di problemi, fornire supporto tecnico e assistenza.

Archiviazione, hosting e gestione infrastruttura backend: per gestire l'infrastruttura tecnica di archiviazione dei dati degli Utenti, elaborare e inviare campagne email, gestire liste di contatti e segmentazioni, fornire analytics e reportistica, gestire automazioni e workflow, fornire form e popup embeddabili.

Invio email o newsletter e gestione mailing list: per contattare l'Utente con email contenenti informazioni commerciali e promozionali relative all'Applicazione, inviare newsletter con novità e aggiornamenti, comunicare offerte speciali e promozioni, inviare contenuti educativi (guide, webinar, case study), condurre sondaggi di soddisfazione. L'Utente può revocare il consenso in qualsiasi momento tramite il link di disiscrizione nelle email o dalle impostazioni dell'account.

Monitoraggio tecnico dell'infrastruttura per manutenzione, risoluzione dei problemi e miglioramento prestazioni: per identificare e risolvere eventuali problemi tecnici e migliorare le performance, analizzare l'utilizzo della piattaforma per migliorare funzionalità, ottimizzare le performance del servizio, sviluppare nuove funzionalità, condurre ricerche e analisi statistiche su dati aggregati e anonimi.

Affiliazione commerciale: per consentire all'Applicazione di pubblicare link tracciati o banner per promuovere prodotti o servizi di terzi.

Personalizzazione dell'esperienza d'uso dell'Utente: per modificare l'Applicazione ed adattarla alle esigenze dell'Utente.

Gestione esterna di pagamenti tramite carta di credito, bonifico bancario o altri strumenti: per gestire pagamenti degli Utenti tramite piattaforme esterne che acquisiscono i dati di pagamento senza che il titolare dell'Applicazione abbia accesso, elaborare pagamenti e gestire fatturazione.

Comunicazioni di servizio: per inviare notifiche relative all'account, comunicare modifiche ai Termini di Servizio o alla Privacy Policy, inviare alert su problemi tecnici o di sicurezza, fornire aggiornamenti su manutenzioni programmate, inviare conferme di pagamento e fatture.

Sicurezza e prevenzione frodi: per prevenire accessi non autorizzati, rilevare e prevenire attività fraudolente, proteggere da spam e abusi, garantire la conformità alle Policy di Utilizzo Accettabile, rispondere a richieste legali e ordini giudiziari.

Conformità legale: per adempiere a obblighi fiscali e contabili, conservare documenti per i termini previsti dalla legge, rispondere a richieste delle autorità competenti, gestire contenziosi e difesa in giudizio.

Il trattamento dei Dati Personali viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate. Il Titolare adotta misure di sicurezza tecniche e organizzative appropriate, tra cui crittografia SSL/TLS per tutte le comunicazioni, crittografia AES-256 per i dati a riposo, firewall e sistemi di rilevamento intrusioni, autenticazione a due fattori (2FA) disponibile, backup automatici giornalieri con retention di 30 giorni, monitoraggio continuo della sicurezza, penetration testing periodici, gestione sicura delle password (hashing con bcrypt), accesso ai dati limitato al personale autorizzato, formazione del personale sulla protezione dei dati, procedure di gestione degli incidenti di sicurezza, accordi di riservatezza con dipendenti e collaboratori, valutazioni d'impatto sulla protezione dei dati (DPIA), server ospitati in data center certificati nell'Unione Europea, controlli di accesso fisico ai data center, sistemi di videosorveglianza e allarme, alimentazione ridondante e sistemi di raffreddamento.

In alcuni casi potrebbero avere accesso ai Dati Personali anche soggetti coinvolti nell'organizzazione del Titolare (quali per esempio, amministratori di sistema, team di supporto tecnico, team di sviluppo per debugging e miglioramenti, team amministrativo per fatturazione e contabilità, addetti alla gestione del personale, addetti all'area commerciale, etc.) ovvero soggetti esterni (come provider di hosting e infrastruttura cloud, provider di servizi di pagamento, provider di email transazionali per notifiche di sistema, provider di analytics, provider di supporto clienti, provider di backup e disaster recovery, società informatiche, fornitori di servizi, corrieri postali, hosting provider, etc.). Detti soggetti all'occorrenza potranno essere nominati Responsabili del Trattamento da parte del Titolare, ai sensi dell'articolo 28 del GDPR, nonché accedere ai Dati Personali degli Utenti ogni qualvolta si renda necessario e saranno contrattualmente obbligati a mantenere riservati i Dati Personali.

L'elenco aggiornato dei Responsabili può essere richiesto via email all'indirizzo [email protected].

Il trattamento dei Dati Personali relativi all'Utente si fonda sulle seguenti basi giuridiche:

• il consenso prestato dall'Utente per una o più finalità specifiche;
• il trattamento è necessario all'esecuzione di un contratto con l'Utente e/o all'esecuzione di misure precontrattuali;
• il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare;
• il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o per l'esercizio di pubblici poteri di cui è investito il Titolare;
• il trattamento è necessario per il perseguimento del legittimo interesse del Titolare o di terzi;
• il trattamento è necessario per il perseguimento di un interesse vitale del Titolare o di terzi.

È comunque sempre possibile richiedere al Titolare di chiarire la base giuridica di ciascun trattamento all'indirizzo [email protected].

I Dati Personali sono trattati presso le sedi operative del Titolare ed in ogni altro luogo in cui le parti coinvolte nel trattamento siano localizzate. I dati sono ospitati su server situati nell'Unione Europea. Alcuni fornitori di servizi potrebbero essere situati al di fuori dell'UE. In tali casi, il Titolare garantisce che siano adottate clausole contrattuali standard approvate dalla Commissione Europea, siano implementate misure di sicurezza adeguate e sia garantito un livello di protezione equivalente al GDPR. Per ulteriori informazioni, contatta il Titolare al seguente indirizzo email [email protected].

Il Trattamento viene effettuato secondo modalità e con strumenti idonei a garantire la sicurezza e la riservatezza dei Dati Personali, avendo il Titolare adottato misure tecniche e organizzative adeguate che garantiscono, e consentono di dimostrare, che il Trattamento è effettuato in conformità alla normativa di riferimento. In caso di violazione dei dati personali (data breach), il Titolare valuterà l'impatto e i rischi per gli interessati, notificherà l'Autorità Garante entro 72 ore se richiesto, informerà gli Utenti interessati se il rischio è elevato e documenterà l'incidente e le misure adottate.

L'Utente è responsabile di mantenere riservate le proprie credenziali di accesso, utilizzare password sicure e uniche, abilitare l'autenticazione a due fattori (2FA), notificare immediatamente accessi non autorizzati e proteggere i propri dispositivi con antivirus e firewall.

I Dati Personali saranno conservati per il periodo di tempo necessario ad adempiere alle finalità per i quali sono stati raccolti.

In particolare, i Dati Personali saranno conservati per tutta la durata del rapporto contrattuale, per l'esecuzione degli adempimenti allo stesso inerenti e conseguenti, per il rispetto degli obblighi di legge e regolamentari applicabili, nonché per finalità difensive proprie o di terzi. I dati dell'account sono conservati per tutta la durata del rapporto contrattuale e fino alla cancellazione dell'account da parte dell'Utente. Dopo la cancellazione dell'account, i dati sono conservati per 30 giorni per permettere il recupero dell'account; dopo 30 giorni, tutti i dati sono cancellati definitivamente e irreversibilmente. I dati necessari per adempimenti fiscali e contabili (fatture) sono conservati per 10 anni dalla data dell'ultima transazione, come richiesto dalla legge italiana. I log di sistema e i dati di sicurezza sono conservati per 12 mesi per finalità di sicurezza e prevenzione frodi.

Qualora il trattamento dei Dati Personali sia basato sul consenso dell'Utente, il Titolare può conservare i Dati Personali sino alla revoca del consenso. I dati raccolti per finalità di marketing sono conservati fino alla revoca del consenso da parte dell'Utente o per un massimo di 24 mesi dall'ultima interazione.

I Dati Personali possono essere conservati per un periodo più lungo se necessari per adempiere un obbligo di legge o per ordine di un'autorità.

Tutti i Dati Personali saranno cancellati o conservati in una forma che non consenta l'identificazione dell'Utente entro 30 giorni dal termine del periodo di conservazione. Allo scadere di tale termine il diritto di accesso, cancellazione, rettifica ed il diritto alla portabilità dei Dati Personali non potranno più essere esercitati.

Tutti i Dati Personali raccolti non saranno oggetto di alcun processo decisionale automatizzato, compresa la profilazione, che possa produrre effetti giuridici per la persona o che possa incidere su di essa in modo significativo. La piattaforma utilizza sistemi automatici per rilevare e bloccare spam e abusi (senza effetti giuridici), suggerire ottimizzazioni per le campagne (suggerimenti, non decisioni) e analizzare le performance delle campagne (reportistica), ma questi sistemi non prendono decisioni automatiche che influenzano i diritti dell'Utente.

Gli Utenti possono esercitare determinati diritti con riferimento ai Dati Personali trattati dal Titolare. In particolare, l'Utente ha il diritto di:

• revocare il consenso in ogni momento;
• opporsi al trattamento dei propri Dati Personali;
• accedere ai propri Dati Personali e ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso ai dati e alle seguenti informazioni: finalità del trattamento, categorie di dati personali trattati, destinatari a cui i dati sono stati o saranno comunicati, periodo di conservazione previsto, esistenza di processi decisionali automatizzati;
• verificare e chiedere la rettifica dei dati personali inesatti e l'integrazione dei dati incompleti;
• ottenere la limitazione del trattamento quando contesta l'esattezza dei dati, il trattamento è illecito ma l'Utente si oppone alla cancellazione, i dati sono necessari per accertare, esercitare o difendere un diritto in sede giudiziaria, l'Utente si è opposto al trattamento in attesa della verifica;
• ottenere la cancellazione dei propri Dati Personali nei seguenti casi: i dati non sono più necessari rispetto alle finalità, l'Utente revoca il consenso e non sussiste altra base giuridica, l'Utente si oppone al trattamento, i dati sono stati trattati illecitamente, i dati devono essere cancellati per adempiere un obbligo legale;
• ricevere i propri Dati Personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli ad altro titolare senza impedimenti (diritto alla portabilità);
• proporre reclamo all'autorità di controllo della protezione dei Dati Personali (Autorità Garante per la Protezione dei Dati Personali: sito web https://www.garanteprivacy.it, email [email protected], indirizzo Piazza Venezia 11, 00187 Roma) e/o agire in sede giudiziale.

Per esercitare i propri diritti, gli Utenti possono indirizzare una richiesta agli estremi di contatto del Titolare indicati in questo documento. Le richieste sono evase gratuitamente entro 30 giorni dalla ricezione. In casi complessi, il termine può essere esteso di ulteriori 60 giorni, con comunicazione motivata all'Utente.

AnyLetters non è destinato a minori di 18 anni. Non raccogliamo consapevolmente dati personali di minori. Se veniamo a conoscenza di aver raccolto dati di un minore, procederemo alla cancellazione immediata. I genitori o tutori che ritengono che un minore abbia fornito dati personali possono contattarci per richiedere la cancellazione.

La Piattaforma può contenere link a siti web di terze parti. Non siamo responsabili per le pratiche di privacy di tali siti. Consigliamo di leggere le informative privacy di ogni sito visitato.

Quando l'Utente utilizza AnyLetters per inviare campagne email ai propri contatti, l'Utente agisce come Titolare del Trattamento e AnyLetters agisce come Responsabile del Trattamento ai sensi dell'Art. 28 GDPR. L'Utente è responsabile di ottenere il consenso esplicito dei destinatari prima dell'invio, fornire un'informativa privacy ai propri contatti, garantire la liceità del trattamento, rispettare i diritti degli interessati (accesso, rettifica, cancellazione), fornire un meccanismo di disiscrizione funzionante e mantenere registri del consenso.

Il rapporto tra l'Utente (Titolare) e AnyLetters (Responsabile) è regolato dal Data Processing Agreement (DPA) disponibile su https://www.anyletters.it/dpa, che definisce natura e finalità del trattamento, tipologia di dati trattati, categorie di interessati, obblighi e diritti delle parti, misure di sicurezza implementate, gestione dei sub-responsabili, assistenza in caso di richieste degli interessati e notifica di violazioni dei dati.