Privacy Policy

Ultimo aggiornamento: 06 giugno 2026

La presente informativa descrive le modalità con cui Next Step Consulting S.r.l. (di seguito «Titolare» o «noi») tratta i dati personali degli utenti di Portante, in conformità al Regolamento (UE) 2016/679 (GDPR), al D.lgs. 196/2003 (Codice Privacy) e al D.lgs. 101/2018.

1.Titolare del trattamento

Il Titolare del trattamento è Next Step Consulting S.r.l., con sede legale in Via X Giugno 5, Piacenza 29121, P.IVA IT01883310334. Per esercitare i diritti GDPR o richiedere informazioni, scrivere a supporto@metodocantiere.com.

2.Tipologie di dati trattati

Raccogliamo e trattiamo le seguenti categorie di dati personali:

Dati di registrazione: nome, cognome, email aziendale, password (memorizzata in forma cifrata), ragione sociale, P.IVA.
Dati di pagamento: i pagamenti sono gestiti tramite Stripe Inc. Il Titolare NON memorizza dati di carte di credito; riceve solo conferma transazione e ultimi 4 numeri della carta per identificazione.
Dati operativi inseriti dall'utente: anagrafiche dei tuoi clienti, lead, comunicazioni, preventivi, contratti, documenti caricati. Sono dati di proprietà dell'utente; il Titolare agisce come Responsabile del trattamento (Art. 28 GDPR) per conto dell'utente.
Dati di utilizzo: log accessi, IP address (anonimizzati dopo 30gg), pagine visitate, tempi di sessione. Usati per sicurezza e ottimizzazione del servizio.
Cookies: cookies tecnici (sempre attivi), statistici (con consenso), marketing (con consenso). Vedi Cookie Policy in fondo.
Comunicazioni con il supporto: email, ticket, chat con il team.

3.Finalità e base giuridica

Finalità	Base giuridica (Art. 6 GDPR)
Erogazione del servizio CRM	Esecuzione del contratto (lett. b)
Fatturazione e adempimenti fiscali	Obbligo legale (lett. c)
Supporto clienti	Esecuzione del contratto (lett. b)
Sicurezza, prevenzione frodi	Legittimo interesse (lett. f)
Comunicazioni di servizio (notifiche, update)	Esecuzione del contratto (lett. b)
Marketing diretto (newsletter prodotto)	Consenso espresso (lett. a) — revocabile
Statistiche aggregate anonime	Legittimo interesse (lett. f)

4.Periodo di conservazione

Dati account attivo: per tutta la durata del rapporto contrattuale.
Dati account chiuso: soft-delete entro 30 giorni, cancellazione permanente entro 90 giorni dalla richiesta.
Dati fiscali e fatture: 10 anni (Art. 2220 c.c.).
Log accessi: 6 mesi (Provvedimento Garante 27/11/2008).
Backup: 7 giorni (rolling), poi sovrascritti.
Newsletter marketing: fino a revoca del consenso.

5.Destinatari dei dati (Responsabili Esterni)

I dati possono essere comunicati ai seguenti soggetti che agiscono come Responsabili esterni del trattamento (Art. 28 GDPR), nominati con apposito DPA:

Supabase Inc. (USA) — hosting database. Trasferimento basato su SCC + DPF.
Vercel Inc. (USA) — hosting applicativo. SCC + DPF.
Stripe, Inc. (USA/IE) — gateway pagamenti. SCC + DPF.
Resend, Inc. (USA) — invio email transazionali. SCC.
Google LLC (USA) — Google Analytics 4 per statistiche aggregate sull'uso del sito (attivato solo previo consenso) e Workspace/Calendar OAuth se attivato. SCC + DPF.
Anthropic PBC e OpenAI, L.L.C. (USA) — servizi AI. SCC + DPF.
Sentry GmbH (Germania) — error monitoring. UE.

I dati operativi NON sono mai venduti, ceduti o comunicati a terzi per finalità di marketing di soggetti esterni.

6.Trasferimenti extra-UE

Alcuni fornitori sopra elencati hanno server negli Stati Uniti. Il trasferimento avviene sulla base delle Standard Contractual Clauses (SCC) approvate dalla Commissione UE (Decisione 2021/914) e, ove applicabile, sotto il EU-US Data Privacy Framework. Garantiamo il rispetto degli standard GDPR per tutti i dati trasferiti.

7.I tuoi diritti (Art. 15-22 GDPR)

Hai il diritto di:

Accesso (Art. 15): ottenere conferma del trattamento e copia dei tuoi dati.
Rettifica (Art. 16): correggere dati inesatti.
Cancellazione (Art. 17): «diritto all'oblio» nei limiti normativi.
Limitazione (Art. 18): sospendere il trattamento.
Portabilità (Art. 20): ricevere i tuoi dati in formato strutturato (JSON/CSV).
Opposizione (Art. 21): opporsi al trattamento per legittimo interesse o marketing.
Reclamo: al Garante per la Protezione dei Dati Personali (www.gpdp.it).

Per esercitare i diritti scrivi a supporto@metodocantiere.com. Rispondiamo entro 30 giorni (Art. 12 GDPR).

8.Sicurezza dei dati

Adottiamo misure tecniche e organizzative adeguate (Art. 32 GDPR):

Cifratura TLS 1.3 in transito su tutte le comunicazioni.
Cifratura AES-256 a riposo sul database.
Password salvate solo come hash bcrypt.
Isolamento multi-tenant a livello database (Row Level Security PostgreSQL).
Backup automatici giornalieri con retention 7 giorni.
Accesso al sistema riservato a personale autorizzato con MFA.
Logging accessi e tentativi sospetti, vulnerability monitoring continuo.

Il sito utilizza le seguenti categorie di cookie:

Cookie tecnici (sempre attivi): necessari per autenticazione, sessione, preferenza tema. Esenti da consenso (Art. 122 D.lgs. 196/2003).
Cookie statistici (con consenso): Google Analytics 4 (Google LLC), che installa i cookie _ga e _ga_* per misurare in forma aggregata come gli utenti usano il sito. Vengono attivati solo dopo che accetti dal banner cookie; se rifiuti non vengono installati.
Cookie di marketing (con consenso): oggi non attivi, predisposti per future campagne di retargeting.

10.Minori

Il Servizio non è destinato a minori di 16 anni. Non raccogliamo consapevolmente dati di minori. Se ritieni che un minore abbia fornito dati, scrivi a supporto@metodocantiere.com per cancellazione immediata.

11.Modifiche alla presente informativa

Potremmo aggiornare questa Privacy Policy in qualsiasi momento. Le modifiche significative saranno notificate via email almeno 30 giorni prima dell'entrata in vigore. La versione aggiornata è sempre disponibile su questa pagina con data «Ultimo aggiornamento».

12.Contatti

Next Step Consulting S.r.l.
Via X Giugno 5, Piacenza 29121
P.IVA: IT01883310334
Email: supporto@metodocantiere.com

Documento basato su prassi standard SaaS B2B italiane. Consigliata una revisione legale professionale prima del lancio commerciale.