Informativa sulla Privacy

1. Titolare del trattamento

Il titolare del trattamento dei dati personali trattati nell'ambito del servizio TaxPortugal è Robertino Martinez, con sede legale in Oasis Mar, Lote 2, Portimao, Portugal, codice fiscale 314033521. È possibile contattarci a contact@taxportugal.com.

Non è stato nominato un Responsabile della Protezione dei Dati in quanto l'Operatore non soddisfa i criteri di cui all'articolo 37 del GDPR. Per qualsiasi questione relativa alla protezione dei dati o esercizio dei diritti, utilizzare l'indirizzo e-mail sopra indicato.

2. Dati personali trattati

Dati di account: il suo indirizzo e-mail, il suo nome (se fornito da Google in fase di accesso) e i metadati di autenticazione (data e ora di accesso, indirizzo IP, user-agent, emissione e utilizzo del magic link).

Dati di profilo: un profilo fiscale facoltativo autodichiarato (residenza fiscale, regime, indicatore di familiari a carico, status NHR/IFICI, lingua di lavoro, locale). Non raccogliamo il suo numero di identificazione fiscale (NIF), il numero di conto bancario (IBAN), importi monetari o documenti personali, e il sistema istruisce l'agente a non scrivere tali informazioni nella memoria a lungo termine.

Dati di conversazione: le domande, i messaggi e i metadati che invia all'agente, le risposte dell'agente e le note che l'agente salva durante una conversazione per mantenere il contesto al suo interno. Le conversazioni sono memorizzate in chiaro e collegate al suo account.

Dati di stato di fatturazione: livello di abbonamento, stato, ciclo di fatturazione, timestamp dell'ultimo pagamento, quote del piano e identificativo cliente Stripe. I dati completi di carta e gli altri dati di pagamento sono trattati esclusivamente da Stripe; l'Operatore non li riceve né li conserva.

Dati tecnici: log di server standard (indirizzo IP, percorso della richiesta, codice di stato, timestamp) generati dal fornitore di hosting, utilizzati per sicurezza e prevenzione degli abusi.

3. Finalità e basi giuridiche

Trattiamo i suoi dati personali per: (a) creare e autenticare il suo account, fornire il Servizio e rispondere alle sue domande — base giuridica: esecuzione di un contratto con lei (articolo 6, paragrafo 1, lettera b), del GDPR); (b) elaborare pagamenti, gestire abbonamenti e gestire contestazioni di fatturazione — base giuridica: esecuzione di un contratto (articolo 6, paragrafo 1, lettera b)) e adempimento dei nostri obblighi di legge ai sensi della legislazione fiscale e commerciale portoghese (articolo 6, paragrafo 1, lettera c)); (c) mantenere la sicurezza, prevenire abusi, rilevare frodi e far rispettare i Termini — base giuridica: il nostro legittimo interesse a gestire un servizio sicuro (articolo 6, paragrafo 1, lettera f)); (d) comunicare informazioni transazionali (link di accesso, ricevute di fatturazione, avvisi di servizio) — base giuridica: esecuzione di un contratto; (e) adempiere a obblighi di legge, compreso il rispondere a richieste legittime delle autorità — base giuridica: obbligo di legge (articolo 6, paragrafo 1, lettera c)).

Non utilizziamo i suoi dati per e-mail di marketing o pubblicità comportamentale e non vendiamo i suoi dati.

4. Destinatari e responsabili del trattamento

Ricorriamo ai seguenti responsabili del trattamento per il funzionamento del Servizio. Ciascuno è vincolato da un contratto di nomina a responsabile e tratta i suoi dati unicamente sulla base di istruzioni documentate dell'Operatore.

Anthropic, PBC (Stati Uniti) — genera le risposte di IA; riceve i messaggi della conversazione inviati all'agente e il contesto di prompt necessario per rispondere.

Cohere, Inc. (Stati Uniti / Canada) — genera embedding esclusivamente del corpus legale. Cohere non riceve le sue conversazioni né i dati di profilo.

Stripe Payments Europe, Limited (Irlanda) — elabora i pagamenti dell'abbonamento; riceve i dati di pagamento forniti al checkout e il suo indirizzo e-mail. L'Operatore non riceve i dati della sua carta.

Resend, Inc. (Stati Uniti) — consegna il magic link e le e-mail transazionali; riceve il suo indirizzo e-mail e il corpo del messaggio.

Railway Corp. (Stati Uniti, regione UE/Francoforte) — fornisce hosting applicativo e Postgres gestito nell'Unione Europea; tratta tutti i dati a riposo memorizzati dal Servizio.

Google Ireland Limited (Irlanda) — fornisce l'accesso Google (OAuth); riceve una richiesta avviata dall'utente e restituisce il profilo di base (e-mail, nome, URL della foto profilo).

Google Ireland Limited / Google LLC — gestisce la misurazione delle conversioni di Google Ads. Quando arrivi al Servizio da una campagna Google Ads e acconsenti ai cookie pubblicitari tramite il banner, Google riceve un evento di conversione comprensivo dell'importo e della valuta dell'acquisto, dell'identificativo della Stripe Checkout Session e di un hash SHA-256 del tuo indirizzo e-mail ("Enhanced Conversions"). In caso di rifiuto nessun dato di conversione viene inviato a Google.

Google Ireland Limited / Google LLC — gestisce Google Analytics 4 per l'analisi del pubblico del sito. Quando presti il consenso ai cookie di analisi tramite il banner, Google riceve segnali standard di visualizzazione pagina, dispositivo e fonte di traffico; non vengono trasmessi indirizzo e-mail, nome o identificativo Stripe. Google Ireland Limited è il titolare nell'UE; alcuni dati possono essere trasferiti a Google LLC (Stati Uniti) ai sensi delle Clausole Contrattuali Standard e, ove applicabile, del Data Privacy Framework UE–USA.

Meta Platforms Ireland Limited (Irlanda) — gestisce il Meta Pixel e la Meta Conversions API per l'attribuzione e l'ottimizzazione delle campagne pubblicitarie su Facebook e Instagram. Quando acconsenti ai cookie pubblicitari tramite il banner, il tuo browser imposta i cookie di prima parte di Meta `_fbp` e (dopo un clic su un annuncio) `_fbc`, e in caso di acquisto completato il nostro server trasmette un evento "Purchase" comprensivo dell'importo e della valuta dell'acquisto, dell'identificativo della Stripe Checkout Session, del tuo indirizzo IP, del tuo user-agent, dei valori `_fbp` e `_fbc`, di un hash SHA-256 del tuo indirizzo e-mail e di un hash SHA-256 del tuo identificativo utente interno. In caso di rifiuto non viene impostato alcun cookie del Pixel e non viene trasmesso alcun evento dal server. Meta Platforms Ireland è il titolare del trattamento nell'UE; alcuni dati possono essere trasferiti a Meta Platforms, Inc. (Stati Uniti) ai sensi delle Clausole Contrattuali Standard e, ove applicabile, del Data Privacy Framework UE–USA.

Un elenco aggiornato dei responsabili del trattamento è disponibile su richiesta a contact@taxportugal.com.

5. Trasferimenti internazionali di dati

Alcuni responsabili del trattamento sono stabiliti al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti. Quando i dati personali vengono trasferiti al di fuori dello SEE, ci basiamo sulle Clausole Contrattuali Standard della Commissione Europea (Decisione 2021/914) e, ove applicabile, sulla decisione di adeguatezza del Data Privacy Framework UE–USA, unitamente a misure tecniche e organizzative supplementari.

I dati applicativi a riposo sono ospitati nell'Unione Europea (Railway, regione di Francoforte). Il contenuto delle conversazioni inviato ad Anthropic e il contenuto delle e-mail inviato a Resend possono essere trattati su infrastruttura situata negli Stati Uniti. È possibile richiedere copia del meccanismo di trasferimento applicabile scrivendo a contact@taxportugal.com.

6. Trattamento tramite IA e addestramento dei modelli

Il Servizio utilizza modelli di IA di terzi (attualmente la famiglia Claude di Anthropic) per generare le risposte. Non autorizziamo l'utilizzo delle sue conversazioni o di altri dati personali per addestrare, perfezionare o migliorare alcun modello di IA, e operiamo secondo le condizioni commerciali di API di tali fornitori.

I responsabili del trattamento mantengono proprie politiche pubblicate che disciplinano il trattamento dei dati inviati tramite le loro API. Si consiglia di consultare le politiche di Anthropic, Cohere, Stripe, Resend, Railway e Google per informazioni aggiornate sul trattamento e la conservazione dei dati che inviamo loro.

7. Conservazione

I dati di account, di profilo e di conversazione sono conservati per tutto il tempo in cui esiste il suo account. Quando elimina il suo account, tali registrazioni vengono rimosse a cascata (account, sessioni, profilo, conversazioni, note); le copie residue nei backup operativi vengono sovrascritte secondo il calendario di backup rotativo del fornitore di hosting.

I documenti di fatturazione (fatture, storico abbonamenti, registrazioni di transazioni con rilevanza fiscale) sono conservati per dieci (10) anni a partire dall'esercizio fiscale di riferimento, conformemente alla legislazione fiscale e commerciale portoghese (Código Comercial e Código do IRC).

I log di autenticazione e gli altri log tecnici di sicurezza sono conservati per un massimo di dodici (12) mesi a fini di prevenzione delle frodi e risposta agli incidenti.

8. I suoi diritti

Subordinatamente alle condizioni del GDPR, l'interessato ha il diritto di: (a) accedere ai propri dati personali e ottenere copia (articolo 15); (b) chiedere la rettifica di dati inesatti (articolo 16); (c) chiedere la cancellazione dei propri dati (articolo 17), che può essere esercitata immediatamente eliminando il proprio account; (d) chiedere la limitazione del trattamento (articolo 18); (e) opporsi al trattamento basato sul legittimo interesse (articolo 21); (f) chiedere la portabilità dei dati che ha fornito e che trattiamo con mezzi automatizzati sulla base di contratto o consenso (articolo 20); (g) qualora il trattamento si basi sul consenso, revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento svolto prima della revoca.

Per esercitare uno qualsiasi di questi diritti, scriva a contact@taxportugal.com. Potremo chiedere di verificare la sua identità. Risponderemo entro un mese, prorogabile di altri due mesi in caso di richieste complesse o numerose, previa comunicazione.

9. Diritto di reclamo

Lei ha il diritto di proporre reclamo a un'autorità di controllo in materia di protezione dei dati. L'autorità competente in Portogallo è la Comissão Nacional de Proteção de Dados (CNPD): https://www.cnpd.pt. È inoltre possibile proporre reclamo all'autorità di controllo del proprio luogo di residenza abituale o di lavoro.

10. Sicurezza

Adottiamo misure tecniche e organizzative adeguate ai rischi del trattamento, tra cui crittografia TLS in transito, crittografia delle credenziali a riposo, controllo degli accessi basato sui ruoli, hosting nell'Unione Europea, backup automatici da parte del fornitore di hosting e registrazione delle azioni amministrative. Nessun sistema è completamente sicuro e non possiamo garantire una sicurezza assoluta.

11. Cookie e tecnologie simili

Utilizziamo cookie strettamente necessari per autenticazione, gestione di sessione e protezione contro CSRF. Tali cookie non richiedono consenso ai sensi del regime ePrivacy recepito in Portogallo, in quanto essenziali per fornire il servizio richiesto.

Utilizziamo inoltre la misurazione delle conversioni di Google Ads, che imposta cookie pubblicitari (la libreria gtag.js e i cookie `_gcl_*`) sulle pagine visitate dopo essere arrivati da un link Google Ads, al fine di misurare le campagne di acquisizione a pagamento e ottimizzare le offerte. Funziona con il tuo consenso, prestato tramite il banner mostrato alla prima visita; puoi rifiutare, nel qual caso non vengono impostati cookie pubblicitari sul tuo browser e nessun segnale identificativo viene inviato a Google.

Per la misurazione delle conversioni di Google Ads possiamo trasmettere a Google un hash SHA-256 del tuo indirizzo e-mail ("Enhanced Conversions") affinché Google possa associare il tuo acquisto al clic pubblicitario originale anche quando i cookie di terze parti sono bloccati. L'hash è calcolato nel tuo browser; l'e-mail in chiaro non viene mai trasmessa e l'hash non viene conservato da noi.

Utilizziamo inoltre Google Analytics 4 per l'analisi del pubblico del sito. Con il tuo consenso, registra nel tuo browser i cookie di prima parte `_ga` e `_ga_<contenitore>` per misurare visualizzazioni di pagina, sessioni, dispositivi e fonti di traffico. Non abbiamo attivato Google Signals, le integrazioni delle funzionalità pubblicitarie né il monitoraggio User-ID; non trasmettiamo a Google Analytics alcun identificatore personale (nessun indirizzo e-mail, nessun nome, nessun identificatore Stripe). In caso di rifiuto, nessun cookie viene registrato nel browser; in tal caso Google riceve soltanto un ping modellato senza cookie, per la stima aggregata del traffico.

Utilizziamo inoltre il Meta Pixel e la Meta Conversions API per l'attribuzione delle campagne pubblicitarie su Facebook e Instagram. Il Pixel imposta il cookie di prima parte `_fbp` sul tuo browser; dopo un clic su un annuncio Meta imposta anche `_fbc`. In caso di acquisto completato, oltre all'evento browser il nostro server trasmette un evento "Purchase" duplicato alla Meta Conversions API comprensivo dell'importo e della valuta dell'acquisto, dell'identificativo della Stripe Checkout Session, del tuo indirizzo IP, del tuo user-agent, dei valori dei cookie `_fbp` e `_fbc`, di un hash SHA-256 del tuo indirizzo e-mail e di un hash SHA-256 del tuo identificativo utente interno. Gli hash sono calcolati sul nostro server prima della trasmissione; l'e-mail in chiaro non viene inviata a Meta e gli hash non sono conservati da noi. Sia il Pixel del browser sia l'invio dal server funzionano con il tuo consenso — in caso di rifiuto non viene impostato alcun cookie del Pixel e non viene trasmesso alcun evento. Non utilizziamo alcuno strumento di registrazione delle sessioni di terze parti.

12. Minori

Il Servizio non è rivolto a minori di diciotto (18) anni. Non raccogliamo consapevolmente dati personali da minori. Qualora venga a conoscenza che un minore ci abbia fornito dati personali, contatti contact@taxportugal.com affinché possiamo provvedere alla loro cancellazione.

13. Categorie particolari di dati e decisioni automatizzate

L'utente non deve inviare al Servizio categorie particolari di dati (articolo 9 del GDPR — salute, origine razziale o etnica, opinioni politiche, convinzioni religiose, dati biometrici, vita o orientamento sessuale) né dati relativi a condanne penali. Il Servizio non è progettato per trattare tali dati e non disponiamo di base giuridica per farlo.

Il Servizio non produce decisioni che producano effetti giuridici sull'utente o lo riguardino in modo analogamente significativo ai sensi dell'articolo 22 del GDPR. I Risultati del Servizio hanno carattere informativo e non costituiscono determinazione della posizione fiscale dell'utente.

14. Notifica di violazioni dei dati

In caso di violazione dei dati personali che possa comportare un rischio per i diritti e le libertà degli interessati, notificheremo la CNPD entro 72 ore dalla conoscenza, conformemente all'articolo 33 del GDPR. Qualora la violazione sia tale da comportare un rischio elevato per l'interessato, ne informeremo anche quest'ultimo senza ingiustificato ritardo, conformemente all'articolo 34.

15. Eliminazione account

È possibile eliminare il proprio account in qualsiasi momento dalla pagina di profilo all'interno del Servizio. L'eliminazione revoca immediatamente tutte le sessioni, rimuove la registrazione dell'account, il suo profilo, le sue conversazioni e le note salvate durante le conversazioni, e annulla qualsiasi abbonamento attivo. I backup contenenti dati residui vengono ruotati secondo la politica del fornitore di hosting e vengono sovrascritti nel tempo. I documenti di fatturazione soggetti a obblighi legali di conservazione sono conservati per i periodi descritti al punto 7.

16. Modifiche alla presente Informativa

Possiamo aggiornare la presente Informativa sulla Privacy per riflettere modifiche al Servizio, ai nostri responsabili del trattamento o alla legislazione applicabile. Comunicheremo le modifiche sostanziali via e-mail o tramite avviso evidenziato nel Servizio prima della loro entrata in vigore. La data di "Ultimo aggiornamento" in cima a questa pagina indica la versione in vigore.

17. Contatto

Per qualsiasi domanda o esercizio dei diritti, contattare contact@taxportugal.com.