Informativa sulla Privacy

ComplyDev ("noi", "nostro") si impegna a proteggere la privacy dei propri utenti. Questa Privacy Policy descrive come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali quando utilizzi la nostra piattaforma di assessment cybersecurity.

ComplyDev

Sito web: https://complydev.com — Email: privacy@complydev.com

Utilizziamo i tuoi dati per:

• Erogazione del servizio: Generare il report di conformità personalizzato
• Comunicazione: Eventuali comunicazioni future (se fornisci l'email)
• Marketing (solo con consenso): Inviare newsletter e aggiornamenti normativi
• Sicurezza: Prevenire abusi e attacchi informatici

Il trattamento dei dati si basa su:

• Esecuzione del contratto (Art. 6.1.b GDPR): Per fornire il servizio richiesto
• Consenso (Art. 6.1.a GDPR): Per comunicazioni marketing (opzionale)
• Interesse legittimo (Art. 6.1.f GDPR): Per sicurezza e prevenzione frodi

• Risposte questionario: Cancellate automaticamente dopo 7 giorni dal completamento
• Report generato: Disponibile per 7 giorni tramite link firmato, poi cancellato
• Dati aziendali: Conservati fino a revoca del consenso o richiesta di cancellazione
• Dati tecnici (IP, logs): Conservati per 30 giorni per sicurezza

I tuoi dati possono essere condivisi con:

• Provider AI (DeepSeek): Per elaborare le risposte (contratto DPA in essere)
• Archiviazione (Cloudflare R2): Per conservare temporaneamente i PDF (contratto DPA in essere)
• Database (Supabase): Per gestione dati (contratto DPA in essere)
• Analytics (Plausible Analytics): Analisi web senza cookie, rispettosa della privacy (ospitata in UE, nessun dato personale raccolto)
• Performance Monitoring (Vercel Analytics): Metriche di performance senza cookie (nessun dato personale raccolto)
• Error Monitoring (Sentry): Tracciamento errori per l'affidabilità del servizio (contratto DPA in essere, può acquisire contesto tecnico degli errori)

Non vendiamo né condividiamo i tuoi dati con terze parti per scopi commerciali.

Alcuni dei nostri fornitori si trovano al di fuori dell'UE. In particolare, DeepSeek (il nostro provider AI) ha sede in Cina, che non dispone di una decisione di adeguatezza dell'UE. Per tali trasferimenti, ci basiamo sulle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, integrate da misure tecniche aggiuntive (crittografia in transito, minimizzazione dei dati, nessuna conservazione persistente da parte del fornitore) in conformità con la decisione Schrems II. Altri fornitori (Supabase, Sentry) trattano i dati all'interno dell'UE o in paesi con decisioni di adeguatezza.

Hai il diritto di:

• Accesso (Art. 15): Ottenere copia dei tuoi dati
• Rettifica (Art. 16): Correggere dati inesatti
• Cancellazione (Art. 17): Richiedere la cancellazione dei tuoi dati
• Limitazione (Art. 18): Limitare il trattamento
• Portabilità (Art. 20): Ricevere i tuoi dati in formato strutturato
• Opposizione (Art. 21): Opporti al trattamento per motivi legittimi
• Revoca consenso (Art. 7.3): Revocare il consenso marketing in qualsiasi momento

Per esercitare i tuoi diritti, scrivici a privacy@complydev.com. Risponderemo entro 30 giorni come previsto dal GDPR.

Implementiamo misure tecniche e organizzative appropriate per proteggere i tuoi dati:

• Crittografia TLS/SSL per trasmissioni
• Crittografia at-rest per storage
• Controlli di accesso role-based
• Audit logs e monitoring
• Backup regolari e disaster recovery

Utilizziamo esclusivamente cookie tecnici strettamente necessari: un cookie di sessione per l'autenticazione (Supabase), un token di protezione CSRF e un cookie per la preferenza della lingua (NEXT_LOCALE). Non utilizziamo alcun cookie di tracciamento, analisi o pubblicità. Le nostre analisi web sono fornite da Plausible Analytics, che è privo di cookie e conforme al GDPR per design.

Il nostro servizio è rivolto a imprese e non è destinato a minori di 16 anni. Non raccogliamo consapevolmente dati di minori.

Potremmo aggiornare questa Privacy Policy periodicamente. L'uso continuato del servizio dopo le modifiche costituisce accettazione della nuova policy.

In caso di violazione dei dati personali che comporti un rischio per i tuoi diritti e le tue libertà, notificheremo l'Autorità Garante per la Protezione dei Dati competente entro 72 ore come previsto dall'Art. 33 GDPR. Se la violazione comporta un rischio elevato, informeremo anche gli utenti interessati senza ingiustificato ritardo (Art. 34 GDPR).

Data la natura e la portata delle nostre attività di trattamento dei dati, ComplyDev non è tenuta a nominare un Responsabile della Protezione dei Dati ai sensi dell'Art. 37 GDPR. Per qualsiasi richiesta relativa alla privacy, puoi contattarci direttamente a privacy@complydev.com.

Hai il diritto di presentare un reclamo presso l'Autorità nazionale per la Protezione dei Dati del tuo paese. Per gli utenti in Italia, l'autorità competente è il Garante per la Protezione dei Dati Personali (https://www.garanteprivacy.it).

Il nostro servizio utilizza l'intelligenza artificiale (DeepSeek) per analizzare il profilo della tua azienda e identificare le normative di cybersecurity applicabili. L'AI valuta il settore, la dimensione, il paese e la descrizione della tua azienda per determinare quali normative si applicano e per generare un report di gap analysis.

Questo trattamento si basa su logica automatizzata ma non produce decisioni giuridicamente vincolanti. L'output è di natura informativa e consultiva. Hai il diritto di richiedere una revisione umana di qualsiasi valutazione generata dall'AI contattandoci a privacy@complydev.com.

Per qualsiasi domanda su questa Informativa sulla Privacy o sul trattamento dei tuoi dati, scrivici a privacy@complydev.com.