Informativa sulla privacy

INTEK CENTER SASU, registrata al 369Q Avenue de Verdun, 33700 Mérignac, Francia (RCS Bordeaux 844 849 174, partita IVA intracomunitaria FR02844849174), agisce come Titolare del trattamento ai sensi del Regolamento (UE) 2016/679 ("GDPR") e della legge francese n. 78-17 del 6 gennaio 1978 ("Loi Informatique et Libertés").

Contatto per la protezione dei dati: il modulo di assistenza nell'app.

Pur non essendo l'Azienda legalmente obbligata a nominare un Responsabile della protezione dei dati (Art. 37 GDPR), il contatto sopra indicato funge da punto di contatto designato per tutte le questioni relative alla protezione dei dati e gestirà tutte le richieste con la stessa diligenza di un DPO formale.

2.1. Dati del servizio

2.2. Dati account (facoltativi)

La creazione dell'account è facoltativa. Il servizio gratuito di rimozione della password proprietario non richiede account o email.

2.3. Dati di pagamento

L'Azienda non conserva i numeri di carta di credito. Tutti i dati di pagamento vengono elaborati esclusivamente da Stripe in un ambiente conforme PCI-DSS.

2.4. Dati tecnici

2.5. Dati analitici (consenso richiesto)

I dati analitici vengono raccolti tramite Google Analytics 4 (GA4) solo dopo il consenso esplicito tramite il banner di consenso ai cookie.

Decisioni automatizzate e profilazione (Art. 22 GDPR): Il Servizio non effettua alcuna decisione automatizzata o profilazione che produca effetti giuridici o che la riguardi in modo analogo significativo.

Utilizziamo i suoi dati esclusivamente per:

• Fornire, gestire e migliorare il Servizio (recupero password, sblocco PDF).
• Estrarre solo l'hash di cifratura dai PDF caricati — non leggiamo, indicizziamo né conserviamo mai il contenuto effettivo dei suoi documenti.
• Elaborare i pagamenti, generare fatture e gestire i rimborsi tramite Stripe.
• Comunicare con lei (notifiche di completamento job, conferme di acquisto, risposte di assistenza).
• Rilevare e prevenire frodi, abusi e accessi non autorizzati (limitazione della velocità, verifica webhook).
• Adempiere agli obblighi legali (contabilità, fiscalità, richieste delle autorità).
• Analizzare i modelli di utilizzo con dati anonimizzati (solo con consenso).

Non vendiamo, affittiamo né cediamo mai i suoi dati personali.

I suoi dati possono essere condivisi con i seguenti fornitori di servizi, esclusivamente per le finalità descritte sopra:

Collaboriamo solo con sub-responsabili che offrono garanzie adeguate ai sensi del GDPR. I suoi dati non vengono mai condivisi con inserzionisti, data broker o terze parti.

La conservazione primaria dei dati avviene all'interno dell'Unione Europea (Google Cloud, Belgio, europe-west1). Alcuni sub-responsabili hanno sede negli Stati Uniti. Questi trasferimenti sono garantiti da:

• La decisione di adeguatezza dell'EU-U.S. Data Privacy Framework (DPF) della Commissione europea (10 luglio 2023), a cui i nostri sub-responsabili statunitensi aderiscono e sono certificati.
• Laddove il DPF non si applica, le Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea (Decisione 2021/914), integrate da adeguate misure tecniche e organizzative (cifratura in transito e a riposo, controlli degli accessi, pseudonimizzazione).

Ai sensi del GDPR e della legge francese, ha i seguenti diritti:

• Accesso (Art. 15 GDPR): Ottenere una copia di tutti i dati che conserviamo su di lei.
• Rettifica (Art. 16): Correggere dati inesatti o incompleti.
• Cancellazione (Art. 17): Richiedere la cancellazione (fatti salvi gli obblighi di conservazione legale).
• Limitazione (Art. 18): Richiedere la limitazione del trattamento.
• Portabilità (Art. 20): Ricevere i suoi dati in un formato strutturato e leggibile da macchina.
• Opposizione (Art. 21): Opporsi al trattamento basato sull'interesse legittimo.
• Revoca del consenso (Art. 7): Revocare il consenso ad analisi/marketing in qualsiasi momento tramite "Gestisci cookie" nel footer.
• Direttive post-mortem (legge francese): Definire le direttive riguardanti il destino dei suoi dati dopo la morte.

Per esercitare i suoi diritti, contatti il modulo di assistenza nell'app. Risponderemo entro 30 giorni (estensibile a 60 giorni per richieste complesse, con notifica).

Ha il diritto di proporre reclamo a un'autorità di controllo. In Francia: Commission Nationale de l'Informatique et des Libertés (CNIL) — cnil.fr.

Implementiamo misure tecniche e organizzative standard del settore:

• Tutte le comunicazioni cifrate tramite TLS 1.2+ (HTTPS imposto da Firebase Hosting).
• Le password utente sono hashate — non conserviamo mai le password di autenticazione in chiaro.
• L'accesso al database è controllato da rigide regole di sicurezza Firestore (principio del minimo privilegio).
• I file PDF sono conservati in Firebase Storage con TTL di eliminazione automatica (24 ore).
• Le firme webhook (Stripe) vengono verificate crittograficamente per prevenire manomissioni.
• Limitazione della velocità su tutti gli endpoint API per prevenire brute force e abusi (5 caricamenti/ora per IP, max 3 job simultanei).
• Le password PDF recuperate vengono conservate in modo cifrato ed eliminate automaticamente dopo 7 giorni.
• Revisioni periodiche della sicurezza e aggiornamenti delle dipendenze.

In caso di violazione dei dati che possa comportare un rischio per i suoi diritti e le sue libertà, notificheremo il CNIL entro 72 ore (Art. 33 GDPR) e informeremo gli utenti interessati senza indebito ritardo (Art. 34 GDPR).

9.1. Strettamente necessari (nessun consenso richiesto)

• Sessione di autenticazione — Mantiene lo stato di accesso (localStorage).
• Preferenze UI — Tema (chiaro/scuro) e lingua (chiavi localStorage: pdfunlock-theme, pdfunlock-locale).
• Scelta del consenso — Registra la sua decisione sui cookie.

9.2. Analitici (consenso richiesto)

• Google Analytics 4 — Cookie: _ga, _ga_*. Durata: fino a 14 mesi. Finalità: comprendere i modelli di utilizzo del sito. Attivato solo dopo il consenso esplicito.

9.3. Marketing (consenso richiesto)

• Google Ads — Cookie: _gcl_*. Finalità: misurare l'efficacia delle campagne pubblicitarie tramite la connessione GA4.
• Microsoft Advertising (Bing UET) — Cookie: _uetmsclkid, _uetvid. Finalità: tracciamento delle conversioni.

Implementiamo Google Consent Mode v2. Tutti i tracker analitici e di marketing sono bloccati per impostazione predefinita (analytics_storage: denied, ad_storage: denied, ad_user_data: denied, ad_personalization: denied) e vengono attivati solo dopo il suo consenso esplicito e affermativo tramite il banner dei cookie.

Può modificare le sue scelte in qualsiasi momento cliccando su "Gestisci cookie" nel footer del sito.

Gli eventi lato server (purchase, refund) vengono inviati tramite il Measurement Protocol GA4 dal nostro backend (webhook Stripe) e non sono soggetti al consenso ai cookie, poiché non comportano tracciamento lato client né raccolta di dati personali al di là della transazione stessa.

Il Servizio non è rivolto a minori di 16 anni. Non raccogliamo consapevolmente dati personali di minori. Se venissimo a sapere di aver raccolto dati da un minore di 16 anni senza il consenso dei genitori, li elimineremmo tempestivamente. Se ritiene che ciò sia avvenuto, la preghiamo di contattarci tramite il modulo di assistenza nell'app.

Potremmo aggiornare periodicamente la presente Informativa sulla privacy per riflettere cambiamenti nelle nostre pratiche, nella tecnologia, nei requisiti legali o in altri fattori. Le modifiche verranno pubblicate su questa pagina con una data "Ultimo aggiornamento" aggiornata.

Per modifiche sostanziali che incidono sui suoi diritti, notificheremo gli utenti registrati via email almeno 15 giorni prima che le modifiche entrino in vigore.