HELLO SAFE (di seguito «HelloSafe», «noi») attribuisce particolare importanza alla protezione dei tuoi dati personali. Questa politica descrive i trattamenti che effettuiamo sui tuoi dati nell'ambito del programma partner HelloSafe. I tuoi dati personali sono trattati nel rispetto del GDPR (Regolamento UE 2016/679) e del Codice Privacy italiano (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018), sotto la vigilanza del Garante per la protezione dei dati personali.
1. Titolare del trattamento
Il titolare del trattamento è HELLO SAFE, i cui dati di contatto sono disponibili nelle nostre note legali.
2. Dati raccolti e finalità
Trattiamo le seguenti categorie di dati:
- Dati di registrazione (email, nome, password sottoposta ad hashing, denominazione sociale, sito web, audience, paese): per creare e gestire il tuo account partner. Base giuridica: esecuzione del contratto.
- Dati di profilo (logo, baseline, persona): per la personalizzazione della tua area partner e del documento Coach. Base giuridica: esecuzione del contratto.
- Dati di tracciamento affiliato (indirizzo IP sottoposto ad hashing, user-agent, referer, paese approssimativo): per misurare i clic sui tuoi link di tracciamento. Gli indirizzi IP non sono mai conservati in chiaro, ma solo come hash SHA-256 con salt. Base giuridica: legittimo interesse a misurare l'attività del programma.
- Dati di conversione (importo, commissione, identificativo dell'ordine esterno, stato): per calcolare le tue commissioni. Base giuridica: esecuzione del contratto.
- Dati delle analisi Coach (riferimento cliente, fascia d'età, destinazione, ecc.): per generare le analisi di copertura che consegni ai tuoi clienti. Base giuridica: esecuzione del contratto.
3. Responsabili del trattamento
Ci avvaliamo dei seguenti responsabili del trattamento, tutti vincolati contrattualmente al rispetto del GDPR:
- Cloudflare, Inc. (Stati Uniti): hosting, CDN ed esecuzione delle funzioni serverless. Il trasferimento fuori dall'UE è disciplinato dalle clausole contrattuali tipo.
- Supabase, Inc. (Stati Uniti; database e autenticazione ospitati nell'Unione europea): database PostgreSQL, gestione degli account e autenticazione.
- Resend Inc. (Stati Uniti): email transazionali.
- Google LLC (Stati Uniti): autenticazione facoltativa tramite OAuth 2.0 (solo se scegli «Accedi con Google»). Il trasferimento fuori dall'UE è disciplinato dalle clausole contrattuali tipo.
- PostHog : analisi di prodotto, configurato senza cookie di terze parti; non viene effettuata alcuna registrazione delle sessioni.
4. Tempi di conservazione
- Account partner: per tutta la durata del rapporto, più 3 anni dopo l'ultima attività (prescrizione commerciale).
- Log di accesso e di tracciamento: 13 mesi.
- Dati di fatturazione e commissioni: 10 anni (obbligo contabile).
- Dati delle analisi Coach: 3 anni dopo la creazione.
5. I tuoi diritti
In conformità al GDPR e al Codice Privacy italiano disponi dei seguenti diritti: accesso, rettifica, cancellazione, limitazione, opposizione, portabilità e revoca del consenso (ove applicabile). Puoi esercitarli tramite la nostra pagina di contatto.
Hai inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (garanteprivacy.it). Rispondiamo alle tue richieste entro un mese dal loro ricevimento.
6. Cookie
Utilizziamo esclusivamente cookie essenziali al funzionamento del Sito (sessione di autenticazione, attribuzione di un clic affiliato a un partner). Questi cookie sono necessari per erogare il servizio che richiedi e non richiedono il tuo consenso preventivo.
Il nostro strumento di analisi di prodotto (PostHog) è configurato in modalità senza cookie : non deposita alcun cookie di terze parti e non effettua né session replay né acquisizione automatica dei campi dei moduli.
7. Sicurezza
Password sottoposte ad hashing con bcrypt dal nostro fornitore di autenticazione, trasferimenti in HTTPS, indirizzi IP anonimizzati prima della conservazione, principio del privilegio minimo sugli accessi amministrativi. Le violazioni dei dati personali che comportano un rischio per i diritti e le libertà delle persone sono notificate al Garante per la protezione dei dati personali e agli interessati entro 72 ore.