Legale
Informativa sul trattamento dei dati personali
Versione del 28 aprile 2026 · Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
La presente informativa descrive come Sigillo (di seguito anche "il Servizio" o "noi") tratta i dati personali raccolti attraverso il sito https://mysigillo.com e l'applicazione https://app.mysigillo.com. È rivolta sia agli utenti professionisti che utilizzano la piattaforma sia ai clienti finali che ricevono preventivi tramite link pubblico.
1. Titolare del trattamento
Il titolare del trattamento è Alessio Bertolini, attività individuale, titolare di P.IVA 18522971003, con sede in Agosta (RM), Italia. Sigillo è un marchio commerciale di Alessio Bertolini.
Punto di contatto privacy: info@mysigillo.com (o l'alias dedicato privacy@mysigillo.com).
Non è stato designato un Responsabile della Protezione dei Dati (DPO), in quanto il trattamento non rientra nei casi di nomina obbligatoria previsti dall'art. 37 GDPR (titolare individuale, attività non su larga scala, nessun trattamento sistematico di categorie particolari di dati).
2. Tipologie di dati trattati
I dati personali trattati sono raggruppati come segue:
2.1 Dati dell'utente professionista (titolare di account)
- Identificativi e di contatto: indirizzo email, nome e cognome, ragione sociale (se diversa).
- Dati fiscali: partita IVA, codice fiscale, regime fiscale (forfettario / semplificato / ordinario), indirizzo della sede, provincia.
- Dati bancari: IBAN per la ricezione dei pagamenti dai clienti finali (gestito tramite Stripe Connect; Sigillo non memorizza dati bancari completi).
- Credenziali di accesso: hash della password (gestito da Firebase Authentication) o token OAuth (Google).
- Dati di abbonamento: piano sottoscritto (Free / Pro / Premium), stato della sottoscrizione, identificativi Stripe (no carta).
2.2 Dati dei clienti finali del professionista
Quando l'utente professionista crea preventivi, può inserire dati relativi ai propri clienti. Sigillo agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR per questi dati, mentre il professionista è il titolare del trattamento. I dati possono comprendere:
- Nome, cognome, ragione sociale del cliente.
- Email, telefono, indirizzo.
- Partita IVA, codice fiscale, codice destinatario SDI (per fatture).
- Firma elettronica (immagine PNG) e timestamp di firma.
- Indirizzo IP e user-agent del cliente al momento dell'apertura del link e della firma (a fini di tracciabilità legale).
2.3 Dati di navigazione e tecnici
- Indirizzo IP (in forma hashata per i rate limit dell'app pubblica), user-agent, identificativi di sessione.
- Log applicativi (eventi di accesso, errori) — conservati per finalità di sicurezza.
- Cookie tecnici di sessione strettamente necessari (vedi sezione 9).
2.4 Dati di contatto della waitlist
Solo l'indirizzo email volontariamente inserito nel modulo "Iscriviti alla waitlist" presente sulla home, conservato fino all'apertura degli accessi beta o alla richiesta di cancellazione (qualunque accada prima).
3. Finalità e basi giuridiche
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogazione del servizio (creazione, condivisione e firma di preventivi, fatturazione) | Esecuzione del contratto — art. 6.1.b |
| Gestione abbonamenti e fatturazione del servizio | Esecuzione del contratto — art. 6.1.b |
| Adempimenti contabili e fiscali | Obbligo legale — art. 6.1.c |
| Sicurezza, prevenzione frodi, rate limiting, audit log | Legittimo interesse — art. 6.1.f |
| Comunicazioni transazionali (es. invio PIN, conferma firma, notifiche di sistema) | Esecuzione del contratto — art. 6.1.b |
| Iscrizione alla waitlist | Consenso esplicito — art. 6.1.a |
Non effettuiamo profilazione né processi decisionali automatizzati di cui all'art. 22 GDPR.
4. Modalità del trattamento
I dati sono trattati con strumenti automatizzati (database cloud, infrastruttura serverless), con misure tecniche e organizzative idonee a garantirne riservatezza, integrità e disponibilità:
- Cifratura in transito (TLS 1.2+) e a riposo presso i sub-responsabili.
- Autenticazione utente (password con hash bcrypt + opzionale 2FA via Google).
- Regole di sicurezza Firestore con segregazione multi-tenant per workspace.
- Rate limiting su endpoint pubblici per prevenire abusi.
- Log strutturati con conservazione limitata ai fini di audit.
- Backup periodici crittografati con retention 90 giorni.
5. Tempi di conservazione
| Categoria | Periodo |
|---|---|
| Dati account utente | Per la durata dell'account; eliminati entro 30 giorni dalla cancellazione |
| Preventivi, clienti, fatture | Come l'account; eliminati entro 30 giorni dalla cancellazione (export disponibile prima) |
| Documenti fiscali (fatture SDI emesse) | 10 anni — obbligo di conservazione fiscale (art. 2220 c.c.) |
| Backup completi | 90 giorni a rotazione |
| Log applicativi e di sicurezza | 12 mesi |
| Log di accesso ai preventivi pubblici | Per la durata del preventivo + 12 mesi |
| Email waitlist | Fino all'apertura beta o alla richiesta di rimozione |
6. Sub-responsabili (sub-processors)
Per erogare il Servizio ci avvaliamo di provider tecnologici terzi che agiscono in qualità di responsabili del trattamento ex art. 28 GDPR. L'elenco aggiornato è il seguente:
| Provider | Servizio | Sede / regione dati |
|---|---|---|
| Google Ireland Ltd. (Firebase / Google Cloud) | Hosting app, database (Firestore), autenticazione, storage file, cloud functions | UE — europe-west1 (Belgio) |
| Vercel Inc. | Hosting del sito marketing (https://mysigillo.com) | USA — clausole contrattuali standard UE |
| Stripe Payments Europe Ltd. | Pagamenti abbonamenti, Stripe Connect (pagamenti clienti finali al professionista) | Irlanda |
| Resend, Inc. | Invio email transazionali (PIN, conferma firma, reminder) | USA — clausole contrattuali standard UE |
| Functional Software, Inc. (Sentry) | Monitoraggio errori applicativi (con scrubbing PII attivo) | UE — Francoforte (de.sentry.io) |
| Microsoft Ireland Operations Ltd. (Microsoft 365) | Casella di posta del titolare (info@, support@, ecc.) | UE |
| Aruba S.p.A. | Registrar e DNS del dominio mysigillo.com | Italia |
Tutti i sub-responsabili sono vincolati da accordi di trattamento dati (DPA) conformi all'art. 28 GDPR. Per i provider con sede extra-UE (Vercel, Resend) sono in vigore le Clausole Contrattuali Standard adottate dalla Commissione Europea con Decisione 2021/914.
6.bis Condivisione con il commercialista designato dall'utente
L'app permette all'Utente professionista di collegare in autonomia il proprio commercialista (o un altro studio professionale di sua fiducia) per agevolare gli adempimenti contabili e fiscali. Il collegamento avviene tramite invito esplicito e accettazione bidirezionale; non attiviamo alcuna condivisione senza il consenso dell'Utente.
Una volta accettato l'invito, lo studio commercialista (e i suoi eventuali collaboratori autorizzati) accede in sola lettura ai dati del workspace dell'Utente, secondo i permessi granulari che l'Utente stesso configura da Impostazioni → Commercialista. La configurazione di default condivide solo i dati strettamente utili agli adempimenti:
- ON di default: fatture elettroniche SDI emesse, dati fiscali del workspace (regime, P.IVA, codice fiscale, IBAN), bundle XML/ZIP mensile.
- OFF di default: preventivi (documenti commerciali con margini e trattative), anagrafica clienti completa.
L'Utente può modificare i permessi o revocare l'accesso in qualsiasi momento da Impostazioni → Commercialista; la revoca è effettiva entro pochi secondi su tutta l'infrastruttura. Lo studio commercialista non può mai modificare, firmare, emettere o eliminare documenti per conto dell'Utente.
Base giuridica: consenso esplicito dell'Utente (art. 6.1.a GDPR) + esecuzione del contratto di consulenza fra Utente e il proprio commercialista (art. 6.1.b). Lo studio commercialista è considerato distinto titolare del trattamento per le finalità di consulenza professionale che eroga al proprio cliente; Sigillo agisce come infrastruttura tecnica di condivisione e non utilizza questi dati per finalità proprie.
Programma referral: al momento del signup, ogni studio commercialista riceve un codice sconto univoco da condividere con i propri clienti. L'utilizzo del codice non comporta alcun trasferimento di dati personali al di fuori dei dati di abbonamento (Stripe Customer del cliente associato al coupon dello studio); l'eventuale anomalia sull'uso del codice (es. accumulo non plausibile di redemption in breve tempo) attiva un alert interno, senza diffusione di dati personali a terzi. La storicizzazione delle redemption è conservata per finalità di audit e di assistenza fiscale per i 10 anni previsti dall'art. 2220 c.c.
7. Trasferimenti extra-UE
Come indicato sopra, alcuni provider possono trattare dati al di fuori dello Spazio Economico Europeo. In questi casi il trasferimento avviene previa adozione di adeguate garanzie ai sensi del Capo V del GDPR, principalmente tramite Clausole Contrattuali Standard. Un elenco aggiornato e copia delle clausole sono disponibili contattando info@mysigillo.com.
8. Diritti dell'interessato
Ai sensi degli artt. 15-22 del GDPR, hai il diritto di:
- Accedere ai tuoi dati personali (art. 15).
- Rettificare dati inesatti o incompleti (art. 16).
- Cancellare i dati ("diritto all'oblio", art. 17). Per gli account, l'app fornisce una funzione di auto-cancellazione in Impostazioni.
- Limitare il trattamento in determinate circostanze (art. 18).
- Ricevere i tuoi dati in formato strutturato e portarli ad altro titolare (art. 20). L'app fornisce un export JSON in autonomia in Impostazioni.
- Opporti al trattamento basato su legittimo interesse (art. 21).
- Revocare il consenso prestato (art. 7), senza pregiudizio per la liceità dei trattamenti precedenti.
Le richieste vanno inviate a info@mysigillo.com e saranno evase entro 30 giorni (estendibili a 90 in casi di particolare complessità con comunicazione motivata).
9. Cookie e tecnologie simili
Il sito marketing (https://mysigillo.com) utilizza esclusivamente:
- Cookie tecnici strettamente necessari (es. preferenza lingua, banner cookie).
- localStorage per memorizzare la conferma di lettura dell'informativa cookie.
Non sono presenti cookie di profilazione, analitici di terze parti, né pixel di social network. Ad oggi non integriamo strumenti di analytics: qualora venisse aggiunto un servizio analitico (es. Plausible Analytics EU, anonimizzato e cookieless), questa informativa verrà aggiornata.
L'applicazione (https://app.mysigillo.com) utilizza cookie di sessione tecnici di Firebase Authentication, indispensabili per mantenere l'utente loggato.
10. Reclamo all'Autorità di controllo
Hai il diritto di presentare reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma — protocollo@gpdp.it) qualora ritenessi che il trattamento dei tuoi dati violi il GDPR o la normativa nazionale.
11. Modifiche all'informativa
Questa informativa può essere aggiornata in caso di modifiche al Servizio, all'elenco dei sub-responsabili o alla normativa applicabile. La versione vigente è sempre pubblicata su https://mysigillo.com/privacy con la relativa data di ultima revisione. Aggiornamenti sostanziali saranno notificati anche via email agli utenti registrati.
12. Contatti
Per qualunque domanda relativa a questa informativa o al trattamento dei tuoi dati: info@mysigillo.com oppure privacy@mysigillo.com.
Ultima revisione: 28 aprile 2026.