Torna alla Home

Privacy Policy

I tuoi dati sono protetti

Questa informativa descrive come CashTrackly protegge i tuoi dati finanziari secondo il GDPR.

PRIVACY POLICY DI CASHTRACKLY

Data di ultima modifica: 5 ottobre 2025

1. TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento dei dati personali è:

Omnia Digital s.r.l. Sede legale: Via Cavalieri di Vittorio Veneto 6, 41014 Castelvetro di Modena (MO), Italia Codice fiscale e P.IVA: 04110410364 Email di contatto: privacy@omniadigital.it PEC: omniadigitalsrl@pro-pec.it

2. TIPOLOGIE DI DATI RACCOLTI

2.1 Dati di registrazione e account

  • Nome e cognome
  • Indirizzo email
  • Password (conservata in forma criptata con hash bcrypt)
  • Preferenze utente (lingua, tema, valuta)
  • Data di registrazione

    • 2.2 Dati finanziari personali

  • Transazioni finanziarie (importo, data, descrizione, tipo)
  • Categorie di spesa personalizzate
  • Obiettivi di risparmio
  • Note e descrizioni personali associate alle transazioni
  • File CSV importati contenenti dati finanziari

    • Nota importante sulla sicurezza: I tuoi dati finanziari sono protetti con crittografia standard bancaria AES-256 e memorizzati su server sicuri ubicati nell'Unione Europea. Tutte le comunicazioni tra il tuo dispositivo e i nostri server avvengono tramite connessioni HTTPS/TLS 1.3 sicure. I calcoli predittivi e le analisi cashflow sono eseguiti localmente sul tuo dispositivo quando possibile, riducendo la quantità di dati che devono essere trasmessi.

    2.3 Dati di utilizzo del servizio

  • Log di accesso (indirizzo IP, data/ora, browser, sistema operativo)
  • Dati di navigazione all'interno della piattaforma
  • Statistiche di utilizzo (numero transazioni, frequenza accessi)
  • Configurazioni delle preferenze utente

    • 2.4 Dati di pagamento

  • Dati necessari per la gestione degli abbonamenti tramite Stripe
  • Storico transazioni e fatture
  • Informazioni sulla sottoscrizione (piano, data inizio, data scadenza trial)

    • Nota importante: CashTrackly NON memorizza direttamente i dati delle carte di credito/debito. Tutti i pagamenti sono gestiti esclusivamente da Stripe Inc., che agisce come processore di pagamento certificato PCI-DSS Level 1.

    2.5 Dati di backup

  • Backup automatici dei dati dell'account (se abilitati)
  • Data e ora dei backup
  • Log delle operazioni di export dati (GDPR)

    • 3. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO

    3.1 Esecuzione del contratto (Art. 6.1.b GDPR)

  • Creazione e gestione dell'account utente
  • Erogazione del servizio SaaS CashTrackly
  • Archiviazione e elaborazione dei dati finanziari inseriti dall'Utente
  • Generazione di statistiche, grafici e report personalizzati
  • Gestione degli abbonamenti e della fatturazione
  • Assistenza tecnica e supporto clienti
  • Registrazione su piattaforma Mautic per comunicazioni di servizio obbligatorie
  • Invio di email transazionali e comunicazioni ufficiali (conferma registrazione, reset password, notifiche account, aggiornamenti importanti, scadenze)

    • 3.2 Adempimenti di legge (Art. 6.1.c GDPR)

  • Adempimenti fiscali e contabili
  • Conservazione documenti fiscali per 10 anni
  • Ottemperanza a richieste dell'autorità giudiziaria

    • 3.3 Legittimo interesse (Art. 6.1.f GDPR)

  • Miglioramento della piattaforma e sviluppo di nuove funzionalità
  • Analisi statistiche aggregate e anonimizzate sull'utilizzo del servizio
  • Prevenzione frodi e sicurezza informatica
  • Ottimizzazione delle performance e stabilità del sistema
  • Test A/B per migliorare l'esperienza utente

    • 3.4 Consenso (Art. 6.1.a GDPR)

  • Invio di comunicazioni marketing (newsletter, aggiornamenti prodotto, offerte commerciali) - solo se richiesto esplicitamente dall'Utente
  • Utilizzo di cookie analitici e di profilazione (tramite cookie policy separata)

    • 4. MODALITÀ DI TRATTAMENTO

    I dati personali sono trattati con strumenti informatici automatizzati per il tempo strettamente necessario alle finalità indicate. Sono adottate specifiche misure di sicurezza per prevenire:

  • Perdita dei dati
  • Usi illeciti o non corretti
  • Accessi non autorizzati
  • Divulgazione non autorizzata

    • 4.1 Misure di sicurezza adottate

  • Crittografia in transito: HTTPS/TLS 1.3 per tutte le comunicazioni tra dispositivo e server
  • Crittografia dati a riposo: Standard AES-256 per proteggere i dati memorizzati
  • Autenticazione a due fattori (2FA): disponibile opzionalmente per tutti gli account
  • Password hashing: bcrypt con salt per le password utente
  • Backup automatici: backup giornalieri con conservazione per 30 giorni
  • Monitoraggio accessi: log di sicurezza e rilevamento anomalie
  • Isolamento dati: ogni utente può accedere esclusivamente ai propri dati
  • Controllo accessi amministratori: Gli accessi degli amministratori ai dati utente sono limitati ai casi di supporto tecnico su richiesta dell'utente o per obblighi legali. Ogni accesso è registrato nei log di audit per garantire trasparenza e conformità GDPR
  • Calcoli locali: Le previsioni cashflow e analisi predittive sono eseguite sul dispositivo utente quando possibile

    • Il trattamento avviene esclusivamente su server ubicati nell'Unione Europea.

    5. DESTINATARI DEI DATI

    I dati personali potranno essere comunicati a:

    5.1 Fornitori di servizi essenziali

  • Stripe Inc. - per la gestione dei pagamenti e abbonamenti (Privacy Policy: stripe.com/privacy)
  • Fornitori di hosting cloud - per l'infrastruttura server (server ubicati in UE)
  • Società di sviluppo software e consulenti IT - per sviluppo, manutenzione e assistenza tecnica della piattaforma (accesso limitato ai soli dati tecnici necessari, previo accordo di riservatezza)
  • Fornitori di servizi di monitoraggio e sicurezza - per garantire stabilità e protezione del sistema

    • Accesso ai dati da parte del personale amministratore: Gli amministratori di CashTrackly possono accedere ai dati utente esclusivamente per:

  • Fornire supporto tecnico su specifica richiesta dell'utente
  • Rispondere a obblighi legali (richieste autorità giudiziarie)
  • Prevenire frodi o garantire la sicurezza della piattaforma

    • Ogni accesso è documentato nei log di audit con timestamp, identità amministratore e motivazione. Gli amministratori non accedono ai dati utente per finalità di marketing o analytics.

    5.2 Servizi di comunicazione

  • Piattaforma Mautic (Marketing Automation) - per l'invio di comunicazioni di servizio (conferme, aggiornamenti importanti, notifiche di sistema) e, se hai prestato consenso, comunicazioni marketing
  • Fornitori di servizi email transazionali - per il recapito effettivo delle email

    • 5.3 Altri soggetti

  • Consulenti e professionisti per adempimenti fiscali e legali
  • Autorità pubbliche su richiesta (es. Guardia di Finanza, Autorità Giudiziaria)

    • 5.4 Sub-responsabili

    I nostri fornitori di servizi potrebbero avvalersi di sub-responsabili per l'erogazione dei loro servizi. Richiediamo contrattualmente che applichino le stesse garanzie di protezione dei dati.

    Tutti i fornitori agiscono come Responsabili del trattamento ai sensi dell'Art. 28 GDPR e hanno accesso ai dati solo nella misura necessaria per fornire i loro servizi, con obbligo di riservatezza.

    6. TRASFERIMENTO DATI EXTRA-UE

    Alcuni fornitori di servizi (es. Stripe) hanno sede negli Stati Uniti. I trasferimenti sono effettuati sulla base di:

  • Clausole Contrattuali Standard approvate dalla Commissione Europea
  • Adeguate garanzie ai sensi del Capo V del GDPR
  • Stripe è certificato PCI-DSS Level 1 e aderisce ai principi del Data Privacy Framework (DPF)

    • I dati finanziari primari dell'Utente rimangono sempre archiviati su server ubicati nell'Unione Europea.

    7. TEMPI DI CONSERVAZIONE

  • Dati di account attivo: per tutta la durata del contratto
  • Dati di fatturazione: durata del contratto + 10 anni per obblighi fiscali
  • Log di accesso e sicurezza: 12 mesi
  • Dati finanziari (transazioni, categorie): per tutta la durata del contratto + 30 giorni dalla cessazione (periodo di grazia per export dati)
  • Backup automatici: 30 giorni (rotazione automatica)
  • Dati utenti cancellati: cancellazione immediata, salvo obbligo di conservazione per finalità fiscali

    • 8. DIRITTI DELL'INTERESSATO

    Ai sensi degli artt. 15-22 del GDPR, hai il diritto di:

    8.1 Diritto di accesso (Art. 15 GDPR)

    Ottenere conferma dell'esistenza di tuoi dati personali e riceverne copia in formato strutturato (JSON).

    Come esercitarlo: accedi alla sezione "Impostazioni > Privacy" e clicca su "Scarica Tutti i Dati (GDPR Export)".

    8.2 Diritto di rettifica (Art. 16 GDPR)

    Correggere dati inesatti o incompleti direttamente dalla Piattaforma o richiedendo assistenza.

    8.3 Diritto alla cancellazione - "diritto all'oblio" (Art. 17 GDPR)

    Richiedere la cancellazione dei dati, salvo obblighi di conservazione legale (es. fatture).

    Come esercitarlo: accedi alla sezione "Impostazioni > Privacy" e utilizza la funzione "Elimina Account Permanentemente".

    Cosa viene cancellato:

  • Account utente e credenziali
  • Tutti i dati finanziari (transazioni, categorie, obiettivi)
  • Dati personali (nome, email)
  • Rimozione da Mautic (sia liste di servizio che marketing)
  • Backup automatici

    • Cosa NON viene cancellato (obblighi legali):

  • Fatture e documenti fiscali (conservazione obbligatoria 10 anni)
  • Log di accesso per finalità di sicurezza (12 mesi)

    • Attenzione: la cancellazione è irreversibile e comporta la perdita permanente di tutti i dati finanziari.

    8.4 Diritto di limitazione (Art. 18 GDPR)

    Limitare il trattamento in caso di contestazione dell'esattezza dei dati o della liceità del trattamento.

    8.5 Diritto alla portabilità (Art. 20 GDPR)

    Ricevere i tuoi dati in formato strutturato (CSV, JSON) e trasferirli ad altro titolare.

    Come esercitarlo: utilizza le funzioni di export disponibili nella sezione "Backup" o "Privacy".

    8.6 Diritto di opposizione (Art. 21 GDPR)

  • Opporti al trattamento per legittimo interesse (es. statistiche aggregate)
  • Opporti all'invio di comunicazioni marketing (revoca consenso)

    • 8.7 Diritto di non essere sottoposto a decisioni automatizzate (Art. 22 GDPR)

    Non applicabile: CashTrackly non effettua profilazione automatizzata né decisioni automatizzate con effetti legali sull'Utente.

    8.8 Diritto di revoca del consenso (Art. 7.3 GDPR)

    Revocare in qualsiasi momento i consensi prestati (es. marketing) senza pregiudicare l'utilizzo del servizio.

    Per esercitare i tuoi diritti, puoi: 1. Utilizzare le funzioni self-service nella sezione "Impostazioni > Privacy" 2. Inviare una richiesta via email a: privacy@omniadigital.it 3. Inviare una PEC a: omniadigitalsrl@pro-pec.it

    Risponderemo entro 30 giorni dalla ricezione della richiesta.

    9. TRATTAMENTO DATI DI UTILIZZO PER MIGLIORAMENTO SERVIZIO

    I dati di utilizzo della piattaforma (es. numero di transazioni inserite, frequenza di accesso, tipologie di categorie create, funzionalità più utilizzate) possono essere utilizzati in forma anonimizzata e aggregata per:

  • Migliorare l'interfaccia utente e l'esperienza d'uso
  • Sviluppare nuove funzionalità richieste dagli utenti
  • Ottimizzare le performance della piattaforma
  • Identificare e risolvere bug

    • Nessun dato finanziario personale identificabile (importi, descrizioni specifiche, nomi di categorie personalizzate) viene utilizzato per tali finalità.

    Puoi opporti a questo trattamento in qualsiasi momento scrivendo a privacy@omniadigital.it. L'opposizione non pregiudica l'utilizzo del servizio.

    10. SICUREZZA DEI DATI

    Adottiamo misure tecniche e organizzative appropriate, tra cui:

    10.1 Misure tecniche

  • Crittografia AES-256 per dati sensibili a riposo
  • Crittografia TLS 1.3 per dati in transito
  • Hashing password con bcrypt (costo 10+)
  • Autenticazione a due fattori (2FA) disponibile
  • Backup automatici crittografati con retention 30 giorni
  • Firewall e sistemi di rilevamento intrusioni (IDS)
  • Monitoraggio log di accesso e anomalie
  • Segregazione database per utente

    • 10.2 Misure organizzative

  • Accesso ai dati limitato al personale autorizzato
  • Formazione del personale sulla privacy e sicurezza
  • Policy interne di gestione dati e incident response
  • Audit periodici di sicurezza
  • Accordi di riservatezza con fornitori e collaboratori

    • 11. GESTIONE DELLE VIOLAZIONI DEI DATI (DATA BREACH)

    11.1 Definizione

    Per violazione dei dati personali (data breach) si intende qualsiasi violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.

    11.2 Notifica al Garante

    In caso di violazione, ci impegniamo a:
  • Valutare tempestivamente il rischio per i diritti e le libertà degli interessati
  • Notificare la violazione al Garante Privacy entro 72 ore dalla sua scoperta, se sussiste un rischio per i diritti e le libertà delle persone
  • Documentare qualsiasi violazione in un registro interno, anche se non notificata

    • 11.3 Comunicazione agli interessati

    Se la violazione comporta un rischio elevato per i tuoi diritti e libertà, ti informeremo senza ingiustificato ritardo tramite:
  • Email all'indirizzo registrato (prioritario)
  • Avviso nella piattaforma all'accesso successivo
  • Banner di notifica urgente
  • SMS (se disponibile)

    • 11.4 Contenuto della comunicazione

    La comunicazione includerà:
  • Natura della violazione (es. accesso non autorizzato, perdita dati)
  • Categorie di dati e numero approssimativo di soggetti coinvolti
  • Possibili conseguenze della violazione
  • Misure adottate o proposte per porre rimedio e mitigare i danni
  • Recapiti del Data Protection Officer o punto di contatto per maggiori informazioni
  • Raccomandazioni per l'Utente (es. cambio password, attivazione 2FA)

    • 11.5 Registro delle violazioni

    Manteniamo un registro interno di tutte le violazioni che documenta:
  • Circostanze della violazione (data, ora, modalità)
  • Categorie e numero di dati/interessati coinvolti
  • Effetti e conseguenze verificate o probabili
  • Azioni correttive intraprese
  • Notifiche effettuate (Garante, interessati)

    • Per segnalare una sospetta violazione: privacy@omniadigital.it

    12. MINORI

    Il servizio CashTrackly è destinato a persone maggiorenni (18 anni compiuti). Non raccogliamo consapevolmente dati di minori di 18 anni.

    Se veniamo a conoscenza di aver raccolto dati di un minore, procederemo alla cancellazione immediata dell'account.

    I genitori o tutori legali che ritengano che un minore abbia fornito dati personali possono contattarci a privacy@omniadigital.it per richiedere la cancellazione.

    13. MODIFICHE ALLA PRIVACY POLICY

    Ci riserviamo il diritto di modificare questa privacy policy per adeguarla a:

  • Evoluzioni normative (es. nuove direttive GDPR)
  • Cambiamenti tecnologici o di servizio
  • Introduzione di nuove funzionalità

    • Le modifiche sostanziali saranno notificate con almeno 15 giorni di preavviso tramite:

  • Email all'indirizzo registrato
  • Banner di notifica in piattaforma
  • Pubblicazione della nuova versione su cashtrackly.com

    • Modifiche minori (es. correzioni refusi, chiarimenti) saranno pubblicate direttamente con aggiornamento della data in intestazione.

    L'uso continuato del servizio dopo la notifica implica accettazione delle modifiche.

    14. COOKIE POLICY

    14.1 Cookie tecnici essenziali

    CashTrackly utilizza esclusivamente cookie tecnici essenziali per il funzionamento del servizio:

  • Cookie di sessione (session token): mantengono l'autenticazione durante la navigazione
  • Cookie di preferenze: memorizzano lingua, tema (chiaro/scuro), valuta selezionata
  • Cookie di sicurezza (CSRF token): proteggono da attacchi cross-site request forgery

    • Questi cookie sono strettamente necessari per l'erogazione del servizio e non richiedono consenso ai sensi del GDPR.

    14.2 Cookie analitici e di profilazione

    Attualmente non utilizziamo cookie analitici di terze parti (es. Google Analytics) né cookie di profilazione pubblicitaria.

    In futuro, se decidessimo di introdurre tali cookie, richiederemo il consenso esplicito tramite un banner dedicato.

    14.3 Gestione cookie

    Puoi gestire o eliminare i cookie tramite le impostazioni del tuo browser. La disabilitazione dei cookie tecnici potrebbe compromettere il funzionamento della piattaforma.

    15. INTEGRAZIONE CON MAUTIC (MARKETING AUTOMATION)

    I tuoi dati di contatto vengono automaticamente sincronizzati con la nostra piattaforma di marketing automation Mautic al momento della registrazione.

    15.1 Base giuridica e finalità

    A) Comunicazioni di servizio (OBBLIGATORIE)

    Base giuridica: Esecuzione del contratto (Art. 6.1.b GDPR)

    Mautic viene utilizzato per inviarti comunicazioni essenziali per l'erogazione del servizio:

  • Conferma registrazione e attivazione account
  • Notifiche importanti su modifiche ai Termini di Servizio o Privacy Policy
  • Aggiornamenti critici sulla sicurezza o funzionalità del servizio
  • Scadenza trial e promemoria abbonamento
  • Comunicazioni amministrative (sospensione account, problemi pagamento)

    • Queste comunicazioni NON richiedono consenso in quanto necessarie per l'esecuzione del contratto. Non puoi disattivarle mantenendo l'account attivo.

    B) Comunicazioni marketing (OPZIONALI)

    Base giuridica: Consenso (Art. 6.1.a GDPR)

    Se durante la registrazione hai spuntato la checkbox "Acconsento a ricevere newsletter e comunicazioni marketing", utilizziamo Mautic anche per:

  • Newsletter informative su nuove funzionalità
  • Guide e tutorial sull'uso della piattaforma
  • Offerte commerciali e promozioni
  • Sondaggi di soddisfazione

    • 15.2 Dati sincronizzati con Mautic

  • Email
  • Nome e cognome
  • Data di registrazione
  • Piano di abbonamento (trial, premium, free)
  • Stato consenso marketing (attivo/revocato)
  • Data ultimo accesso (per segmentazione comunicazioni)

    • NON vengono mai sincronizzati con Mautic:

  • Password
  • Dati finanziari (transazioni, importi, categorie, descrizioni)
  • Dati di pagamento (carte di credito, metodi di pagamento)
  • Indirizzo IP

    • 15.3 Dove è ospitato Mautic

    Mautic è installato su server del Fornitore ubicati nell'Unione Europea. Non utilizziamo servizi cloud di terze parti per Mautic.

    15.4 Revoca consenso marketing

    Puoi revocare il consenso marketing in qualsiasi momento senza conseguenze sull'uso del servizio:

    Metodo 1 - Unsubscribe automatico:

  • Clicca il link "Unsubscribe" in fondo a qualsiasi email marketing ricevuta
  • Verrai rimosso automaticamente dalle liste marketing

    • Metodo 2 - Impostazioni account:

  • Accedi a "Impostazioni > Privacy"
  • Disattiva "Consenso Marketing"

    • Metodo 3 - Email diretta:

  • Scrivi a privacy@omniadigital.it con oggetto "Revoca consenso marketing"

    • Importante: La revoca del consenso marketing NON comporta:

  • Cancellazione dell'account da Mautic (rimane per comunicazioni di servizio)
  • Interruzione delle comunicazioni di servizio obbligatorie
  • Perdita di accesso al servizio CashTrackly

    • Continuerai a ricevere solo le comunicazioni essenziali per l'erogazione del servizio.

    16. RECLAMI

    Hai il diritto di presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali se ritieni che il trattamento dei tuoi dati violi il GDPR:

    Garante per la Protezione dei Dati Personali Sito web: www.garanteprivacy.it Email: garante@gpdp.it PEC: protocollo@pec.gpdp.it Telefono: +39 06 69677 1 Indirizzo: Piazza Venezia 11, 00187 Roma (RM)

    Ti invitiamo tuttavia a contattarci prima di presentare un reclamo formale, in modo da poter risolvere direttamente eventuali problemi.

    17. CONTATTI

    Per qualsiasi domanda sulla privacy, per esercitare i tuoi diritti o per segnalare problemi:

    Email privacy: privacy@omniadigital.it PEC: omniadigitalsrl@pro-pec.it Indirizzo: Via Cavalieri di Vittorio Veneto 6, 41014 Castelvetro di Modena (MO), Italia Telefono: [da aggiungere se disponibile]

    Tempi di risposta: ci impegniamo a rispondere entro 30 giorni dalla ricezione della richiesta, come previsto dall'art. 12 GDPR.

    ---

    Informativa aggiornata ai sensi del Regolamento (UE) 2016/679 (GDPR) Versione: 1.0 Data ultimo aggiornamento: 5 ottobre 2025

    Scarica i tuoi dati

    Accedi all'app e usa la funzione di export GDPR per scaricare tutti i tuoi dati in formato strutturato.

    Vai all'app →

    Contattaci

    Hai domande sulla privacy? Scrivi al nostro team per qualsiasi chiarimento.

    privacy@omniadigital.it →