Informativa Privacy

Ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR) — Ultimo aggiornamento: maggio 2025

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite la piattaforma ESGmate (accessibile all'indirizzo esgmate.it) è:

Giuseppe Camerin

P. IVA: in fase di costruzione

Sede legale: Via Garibaldi 50, Vittorio Veneto (TV)

Email: info@esgmate.it

* I campi tra parentesi quadre saranno completati con i dati definitivi del titolare prima del lancio ufficiale.

2. Dati personali raccolti

ESGmate raccoglie le seguenti categorie di dati personali:

  • Dati di account: Indirizzo email, utilizzato per l'autenticazione tramite magic link (OTP). Nessuna password è mai memorizzata.
  • Dati aziendali: Ragione sociale, partita IVA, codice ATECO, fascia di dipendenti. Dati inseriti volontariamente in fase di onboarding.
  • Dati ESG: Risposte al questionario (consumi energetici, dati HR, informazioni di governance). Questi dati sono forniti dall'utente e rimangono di sua esclusiva proprietà.
  • Dati di navigazione: Indirizzo IP, tipo di browser, pagine visitate, ora di accesso. Raccolti automaticamente dai server per finalità di sicurezza e diagnostica.
  • Dati di pagamento: Gestiti integralmente da Stripe Inc. ESGmate non vede né memorizza dati di carte di credito.

3. Finalità e base giuridica del trattamento

FinalitàBase giuridica (art. 6 GDPR)
Autenticazione e accesso al servizioEsecuzione del contratto (art. 6.1.b)
Erogazione del servizio di generazione report ESGEsecuzione del contratto (art. 6.1.b)
Gestione pagamenti e abbonamentiEsecuzione del contratto (art. 6.1.b)
Invio email transazionali (accesso, report generato)Esecuzione del contratto (art. 6.1.b)
Sicurezza e prevenzione frodiLegittimo interesse del titolare (art. 6.1.f)
Adempimenti fiscali e contabiliObbligo legale (art. 6.1.c)

4. Responsabili del trattamento (sub-processor)

Per erogare il servizio, il titolare si avvale dei seguenti fornitori terzi, nominati responsabili del trattamento ai sensi dell'art. 28 GDPR:

Supabase Inc.Database, autenticazione e archiviazione file (PDF)

USA — dati ospitati su server AWS in area EU (Frankfurt)

Stripe Inc.Elaborazione pagamenti e gestione abbonamenti

USA — trasferimento coperto da Standard Contractual Clauses (SCC)

Vercel Inc.Hosting e distribuzione dell'applicazione web

USA — trasferimento coperto da SCC; edge in EU disponibile

Resend Inc.Invio email transazionali

USA — trasferimento coperto da SCC

5. Conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

  • Dati di account e aziendali: per tutta la durata del rapporto contrattuale e nei 10 anni successivi alla sua cessazione (obbligo fiscale).
  • Dati ESG e report generati: per tutta la durata del rapporto contrattuale. Alla cancellazione dell'account, i dati vengono eliminati entro 30 giorni, salvo obblighi di legge.
  • Log di navigazione: massimo 12 mesi.

6. Diritti dell'interessato

Ai sensi degli artt. 15–22 del GDPR, l'utente ha diritto di:

Art. 15Accesso — ottenere conferma del trattamento e copia dei dati
Art. 16Rettifica — correggere dati inesatti o incompleti
Art. 17Cancellazione (diritto all'oblio) — richiedere l'eliminazione dei dati
Art. 18Limitazione — limitare il trattamento in certi casi
Art. 20Portabilità — ricevere i propri dati in formato strutturato
Art. 21Opposizione — opporsi al trattamento basato su legittimo interesse
Art. 77Reclamo — presentare reclamo al Garante Privacy (www.garanteprivacy.it)
Art. 22Decisioni automatizzate — non essere soggetto a decisioni basate solo su profilazione automatica

Per esercitare i tuoi diritti, scrivi a info@esgmate.it. Risponderemo entro 30 giorni.

7. Cookie e tecnologie di tracciamento

ESGmate utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio:

  • Cookie di sessione Supabase: permettono il mantenimento della sessione autenticata. Senza questi cookie il servizio non funziona. Non richiedono consenso ai sensi dell'art. 5, par. 3, della Direttiva ePrivacy.

Non utilizziamo cookie di profilazione, cookie analitici di terze parti (Google Analytics, Meta Pixel o simili) senza il tuo consenso preventivo.

8. Sicurezza dei dati

Il titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione. In particolare: autenticazione passwordless (magic link), trasmissione dei dati cifrata tramite TLS 1.2+, accesso ai database limitato tramite Row Level Security (RLS) di Supabase.

9. Modifiche alla presente informativa

Il titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche sostanziali saranno comunicate via email agli utenti registrati con almeno 15 giorni di preavviso. La versione aggiornata è sempre disponibile su questa pagina.