INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

1. TITOLARE DEL TRATTAMENTO

Softboom S.r.l.

• Sede legale: Via Dante Alighieri, 15 - 72019 San Vito dei Normanni (BR)
• P.IVA/C.F.: IT02376770745
• Email: info@relatiacrm.com
• PEC: softboom@pec.it
• Telefono: +39 0831 1980444

2. DATA PROTECTION OFFICER (DPO)

Il Titolare ha nominato un Responsabile della Protezione dei Dati contattabile a:

• Email: info@relatiacrm.com
• PEC: softboom@pec.it

3. CATEGORIE DI INTERESSATI

La presente informativa si rivolge a:

• Clienti diretti (aziende che utilizzano Relatia)
• Contatti e lead (persone i cui dati sono gestiti tramite il CRM)
• Potenziali clienti (lead e prospect del servizio Relatia)
• Visitatori del sito web
• Dipendenti e collaboratori dei clienti

4. TIPOLOGIE DI DATI TRATTATI

4.1 Dati dei Clienti Business

Dati identificativi e di contatto:

• Ragione sociale, P.IVA, codice fiscale
• Nome, cognome dei referenti aziendali
• Email aziendali, numeri di telefono
• Indirizzo sede legale e operativa
• PEC e codice SDI

Dati contrattuali e amministrativi:

• Dati bancari (IBAN)
• Storico ordini e fatturazioni
• Credenziali di accesso alla piattaforma
• Log di utilizzo del servizio
• Configurazioni e personalizzazioni
• Pipeline e funnel creati
• Campagne e automazioni configurate

4.2 Dati dei Contatti Gestiti tramite CRM

Dati raccolti e gestiti nel CRM:

• Nome, cognome, ragione sociale
• Email, telefono, indirizzo
• Provenienza del contatto (form, Meta Ads, Google Ads, ecc.)
• Tag e segmentazioni applicate
• Note e annotazioni
• Dati inseriti in campi personalizzati
• Cronologia interazioni e comunicazioni
• Storico campagne ricevute (email, SMS, WhatsApp)
• Dati comportamentali (aperture email, click, engagement)
• Status nel funnel (lead, prospect, cliente, ecc.)
• Data primo contatto e ultimo aggiornamento

Dati derivati dall'elaborazione AI e automazioni:

• Segmentazione automatica
• Score di engagement
• Predizioni di conversione
• Pattern comportamentali aggregati
• Raccomandazioni personalizzate

4.3 Dati di Navigazione

Per i visitatori del sito web:

• Indirizzo IP
• Cookie tecnici e analitici
• Pagine visitate e tempo di permanenza
• Browser e sistema operativo
• Fonte di traffico

5. BASE GIURIDICA DEL TRATTAMENTO

Il trattamento dei dati personali si fonda sulle seguenti basi giuridiche:

5.1 Per i Clienti Business

• Esecuzione del contratto (art. 6.1.b GDPR): per fornire il servizio Relatia
• Obblighi legali (art. 6.1.c GDPR): per adempimenti fiscali e contabili
• Legittimo interesse (art. 6.1.f GDPR): per prevenzione frodi e sicurezza
• Consenso (art. 6.1.a GDPR): per marketing diretto (ove applicabile)

5.2 Per i Contatti nel CRM

• Legittimo interesse (art. 6.1.f GDPR) del cliente business per:
  • Gestione relazioni commerciali
  • Lead generation e nurturing
  • Customer relationship management
  • Miglioramento del servizio clienti
• Consenso (art. 6.1.a GDPR): quando richiesto per marketing diretto
• Esecuzione del contratto (art. 6.1.b GDPR): per clienti effettivi

5.3 Valutazione del Legittimo Interesse

Abbiamo condotto un Legitimate Interest Assessment (LIA) che bilancia:

• Interessi del Titolare: fornire CRM efficiente con automazioni AI
• Diritti degli interessati: privacy e protezione dati
• Misure di salvaguardia: crittografia, minimizzazione, trasparenza, opt-out

6. FINALITÀ DEL TRATTAMENTO

6.1 Finalità Primarie (base contrattuale/legale)

a) Erogazione del servizio Relatia:

• Gestione centralizzata contatti e lead
• Segmentazione e tagging automatico
• Automazioni marketing multicanale
• Integrazione con piattaforme terze (Meta, Google, ecc.)
• Gestione campagne email, SMS, WhatsApp
• Generazione report e analytics
• Dashboard di monitoraggio in tempo reale

b) Gestione del rapporto contrattuale:

• Attivazione e configurazione servizio
• Setup personalizzato e formazione
• Per Piano BOOST: gestione attiva campagne e strategia
• Fatturazione e pagamenti
• Assistenza tecnica e supporto
• Gestione reclami

c) Adempimenti normativi:

• Obblighi fiscali e contabili (10 anni)
• Conformità GDPR e normative privacy
• Obblighi antiriciclaggio (ove applicabile)
• Risposte ad autorità giudiziarie

d) Sicurezza e prevenzione frodi:

• Monitoraggio accessi e utilizzo
• Prevenzione abusi del servizio
• Protezione infrastruttura IT
• Backup e disaster recovery
• Prevenzione spam e uso improprio

6.2 Finalità Secondarie (consenso specifico)

e) Marketing e comunicazione commerciale:

• Newsletter su novità del servizio
• Promozioni e offerte speciali
• Webinar e eventi
• Case study (previa anonimizzazione)

f) Profilazione e analytics avanzate:

• Analisi pattern di utilizzo
• Suggerimenti personalizzati per ottimizzazione campagne
• Predictive analytics
• Benchmarking anonimizzato

g) Miglioramento del servizio:

• Training modelli di AI per automazioni
• Ottimizzazione algoritmi di segmentazione
• Ricerca e sviluppo
• Quality assurance

7. MODALITÀ DEL TRATTAMENTO

7.1 Strumenti e Procedure

I dati sono trattati con:

• Sistemi informatici cloud-based in alta affidabilità
• Procedure automatizzate per automazioni marketing e AI
• Intervento umano per Piano BOOST (gestione campagne) e controllo qualità
• Misure di sicurezza all'avanguardia

7.2 Misure di Sicurezza Tecniche

• Crittografia TLS 1.3 per dati in transito
• Crittografia AES-256 per dati sensibili a riposo
• Firewall applicativi (WAF)
• Sistemi di Intrusion Detection (IDS)
• Autenticazione multi-fattore (MFA) per accessi amministrativi
• Backup ridondanti geograficamente distribuiti
• Monitoraggio 24/7 degli accessi
• Vulnerability assessment periodici
• Penetration testing annuali
• Segregazione dati multi-tenant sicura

7.3 Misure Organizzative

• Personale formato su GDPR e sicurezza
• Procedure di incident response documentate
• Data Protection Impact Assessment (DPIA)
• Audit periodici di compliance
• Role-based access control (RBAC)
• Clean desk policy
• Procedure on/off boarding sicure

8. NATURA AUTOMATIZZATA DEL TRATTAMENTO

8.1 Decisioni Automatizzate

Il servizio Relatia utilizza AI e automazioni per:

• Segmentazione automatica contatti
• Scoring di engagement e conversione
• Trigger automatici per invio campagne
• Personalizzazione contenuti
• Raccomandazioni strategiche
• Analisi predittive

8.2 Trasparenza Algoritmica

In conformità all'AI Act (Reg. UE 2024/1689):

• Sistema classificato: Rischio limitato
• Obbligo di trasparenza: I contatti possono essere informati dell'uso di automazioni
• Diritto di intervento umano: Sempre disponibile
• Logica del trattamento: Machine Learning per segmentazione, scoring e raccomandazioni

8.3 Diritti Specifici

Gli interessati hanno diritto a:

• Ottenere intervento umano nella valutazione
• Esprimere la propria opinione
• Contestare decisioni automatizzate
• Richiedere revisione umana degli output

9. CONSERVAZIONE DEI DATI

9.1 Periodi di Retention

9.2 Criteri di Determinazione

I periodi sono determinati considerando:

• Obblighi legali e normativi
• Termini di prescrizione
• Necessità operative del servizio CRM
• Principio di minimizzazione GDPR
• Diritti degli interessati

9.3 Fine del Periodo di Conservazione

Alla scadenza i dati sono:

• Cancellati in modo sicuro (wiping standard NIST 800-88)
• Anonimizzati irreversibilmente
• Pseudonimizzati per finalità statistiche aggregate

9.4 Cancellazione su Richiesta Cliente

Alla cessazione del contratto:

• Export dati disponibile per 30 giorni
• Cancellazione automatica dopo 30 giorni
• Cancellazione backup entro 90 giorni
• Certificazione cancellazione su richiesta

10. COMUNICAZIONE E DIFFUSIONE

10.1 Categorie di Destinatari

I dati possono essere comunicati a:

Destinatari interni:

• Dipendenti autorizzati
• Amministratori di sistema
• Reparto amministrativo
• Customer support
• Team gestione campagne (solo Piano BOOST)

Fornitori di servizi (Responsabili del Trattamento):

• Amazon Web Services (cloud infrastructure)
• Google Cloud Platform (cloud services)
• SendGrid/Twilio (email delivery)
• Twilio (SMS e WhatsApp API)
• Meta Business (WhatsApp Business API)
• OpenAI (AI services per automazioni)
• Stripe (payment processing)
• Provider backup

Altri destinatari:

• Commercialista e consulenti fiscali
• Avvocati (in caso di contenzioso)
• Istituti bancari
• Società di recupero crediti
• Autorità giudiziarie (su richiesta)
• Enti pubblici per obblighi di legge

10.2 Diffusione

I dati personali NON sono oggetto di diffusione pubblica.

Eccezione: Dati aziendali pubblici (ragione sociale, P.IVA) per trasparenza commerciale.

10.3 Responsabilità del Cliente

Il cliente business, in qualità di Titolare per i propri contatti, è responsabile di:

• Comunicare i dati dei contatti solo per finalità legittime
• Integrare Relatia con piattaforme terze sotto propria responsabilità
• Gestire consensi e basi giuridiche per marketing diretto
• Informare i propri contatti dell'utilizzo del CRM

11. TRASFERIMENTO DATI EXTRA-UE

11.1 Principio Generale

I dati sono archiviati principalmente all'interno dello Spazio Economico Europeo (SEE).

11.2 Trasferimenti verso Paesi Terzi

Possibili trasferimenti verso:

11.3 Garanzie Appropriate

Per ogni trasferimento garantiamo:

• Transfer Impact Assessment (TIA)
• Standard Contractual Clauses (SCC) 2021/914 della Commissione UE
• Misure supplementari (crittografia end-to-end, pseudonimizzazione)
• Monitoraggio continuo del livello di protezione
• Verifica adesione framework privacy applicabili

11.4 Diritto di Ottenere Informazioni

Gli interessati possono richiedere:

• Copia delle garanzie appropriate
• Dettagli sui trasferimenti specifici
• Valutazioni d'impatto (TIA)

Lista aggiornata sub-responsabili: https://relatiacrm.com/sub-processors

12. DIRITTI DEGLI INTERESSATI

12.1 Catalogo dei Diritti (Artt. 15-22 GDPR)

Gli interessati hanno diritto di:

a) Accesso (Art. 15)

• Conferma del trattamento
• Copia dei dati personali in formato strutturato
• Informazioni sul trattamento (finalità, destinatari, retention)

b) Rettifica (Art. 16)

• Correzione dati inesatti
• Integrazione dati incompleti

c) Cancellazione - "Diritto all'Oblio" (Art. 17)

Cancellazione quando:

• Dati non più necessari
• Revoca del consenso (per trattamenti basati su consenso)
• Opposizione al trattamento
• Trattamento illecito
• Obbligo legale di cancellazione

d) Limitazione (Art. 18)

• Sospensione del trattamento
• Conservazione senza utilizzo (es. durante verifica contestazione)

e) Portabilità (Art. 20)

• Ricevere dati in formato strutturato e machine-readable (CSV, JSON)
• Trasmissione diretta ad altro titolare/CRM

f) Opposizione (Art. 21)

• Opporsi per motivi legittimi legati alla propria situazione
• Opposizione a marketing diretto (sempre, senza motivazione)
• Opposizione a profilazione

g) Non essere sottoposto a decisioni automatizzate (Art. 22)

• Richiedere intervento umano
• Esprimere opinione
• Contestare la decisione automatizzata

12.2 Modalità di Esercizio

Come esercitare i diritti:

Per contatti gestiti nel CRM:

• Contattare direttamente il cliente business che gestisce i vostri dati
• In alternativa: info@relatiacrm.com (inoltreremo al cliente responsabile)

Per clienti diretti di Relatia:

1. Via email: info@relatiacrm.com
2. Via PEC: softboom@pec.it

Cosa includere nella richiesta:

• Identificazione chiara del richiedente
• Diritto che si intende esercitare
• Dati oggetto della richiesta
• Modalità di risposta preferita
• Per contatti CRM: indicare il cliente business di riferimento (se noto)

12.3 Termini di Risposta

• Conferma ricezione: entro 3 giorni lavorativi
• Risposta completa: entro 30 giorni (1 mese)
• Proroga motivata: massimo 60 giorni aggiuntivi (2 mesi) per richieste complesse o multiple
• Formato risposta: stesso canale della richiesta o come preferito

12.4 Strumenti Self-Service (per clienti Relatia)

La piattaforma offre funzionalità per facilitare l'esercizio dei diritti:

• Export completo dati contatti (CSV, JSON, PDF)
• Funzione "Elimina contatto" con cancellazione completa
• Funzione "Blocca trattamento" per limitazione
• Sistema opt-out automatizzato per marketing
• Log modifiche e accessi

12.5 Costi

• Prima richiesta: sempre gratuita
• Richieste successive ripetitive o eccessive: possibile contributo spese ragionevole
• Richieste manifestamente infondate: possibile rifiuto motivato per iscritto

13. DIRITTO DI RECLAMO

13.1 Autorità di Controllo

Se ritenete che il trattamento violi il GDPR, avete diritto di proporre reclamo a:

Modalità di reclamo:

• Online: tramite form sul sito del Garante
• Email/PEC: agli indirizzi sopra
• Raccomandata A/R: all'indirizzo sopra

13.2 Autorità del Proprio Stato Membro

Potete anche rivolgervi all'autorità di controllo dello Stato membro UE di:

• Residenza abituale
• Luogo di lavoro
• Luogo della presunta violazione

13.3 Ricorso Giurisdizionale

In alternativa o in aggiunta al reclamo, è possibile il ricorso all'autorità giudiziaria ordinaria.

13.4 Risoluzione Amichevole

Prima del reclamo formale, vi invitiamo a contattare il nostro DPO per tentare una risoluzione amichevole: info@relatiacrm.com

14. COOKIE POLICY

14.1 Tipologie di Cookie Utilizzati

Cookie Tecnici (non richiedono consenso):

• Sessione: autenticazione utente, carrello
• Preferenze: lingua, configurazioni dashboard
• Sicurezza: prevenzione frodi, CSRF token
• Bilanciamento carico: routing server

Cookie Analytics (consenso richiesto):

• Google Analytics 4 (IP anonimizzato)
• Hotjar (heatmaps e session recordings anonimizzati)

Cookie Marketing (consenso richiesto):

• Google Ads (remarketing, conversion tracking)
• LinkedIn Insight Tag
• Facebook Pixel
• Meta Pixel (per campagne pubblicitarie)

14.2 Gestione Preferenze

• Cookie Banner: prima visita del sito con scelte granulari
• Privacy Center: https://relatiacrm.com/privacy-center
• Dashboard Relatia: sezione Privacy & Cookie per clienti
• Browser Settings: blocco cookie tramite impostazioni browser

14.3 Durata Cookie

• Cookie di sessione: cancellati alla chiusura browser
• Cookie persistenti: max 12-14 mesi
• Rinnovo: ad ogni interazione che richiede il cookie

14.4 Cookie di Terze Parti

Alcuni cookie sono impostati da terze parti (es. piattaforme integrate). Per maggiori informazioni:

• Google: https://policies.google.com/privacy
• Meta: https://www.facebook.com/privacy
• LinkedIn: https://www.linkedin.com/legal/privacy-policy

14.5 Conseguenze del Rifiuto

• Cookie tecnici: impossibile utilizzare il servizio correttamente
• Cookie analytics: nessun impatto funzionale, solo statistiche aggregate
• Cookie marketing: nessun impatto sul servizio, solo pubblicità meno rilevanti

15. MINORI

15.1 Policy sui Minori

Il servizio Relatia è destinato esclusivamente a clienti business e professionisti. Non raccogliamo consapevolmente dati di minori di 16 anni.

15.2 Misure di Protezione

• Verifica età e status professionale in fase di registrazione
• Termini di servizio vietano uso da minori
• Cancellazione immediata se identificati minori
• Alert al cliente se rilevati contatti minori nel CRM

15.3 Responsabilità del Cliente

Il cliente business è responsabile di:

• Non inserire dati di minori nel CRM
• Verificare l'età dei propri contatti per campagne marketing
• Rispettare normative specifiche settoriali (es. prodotti per adulti)

15.4 Segnalazioni

Per segnalare presenza di dati di minori:

• Email: info@relatiacrm.com
• Oggetto: "URGENTE - Minori"

16. MODIFICHE ALL'INFORMATIVA

16.1 Aggiornamenti

Questa informativa può essere aggiornata per:

• Modifiche normative (GDPR, ePrivacy, AI Act, ecc.)
• Nuove funzionalità del servizio
• Cambio finalità o modalità trattamento
• Nuovi sub-responsabili o trasferimenti
• Richieste o raccomandazioni del Garante

16.2 Notifica Modifiche

Modifiche sostanziali:

• Email agli utenti amministratori registrati sulla piattaforma
• Notifica in-app nella dashboard Relatia
• Banner informativo sul sito per 30 giorni

Modifiche minori (es. chiarimenti, correzioni refusi):

• Aggiornamento data versione sul sito
• Changelog disponibile pubblicamente

16.3 Responsabilità del Cliente

Il cliente è responsabile di:

• Mantenere aggiornati gli indirizzi email degli amministratori
• Verificare periodicamente gli aggiornamenti dell'informativa
• Informare i propri contatti CRM delle modifiche rilevanti
• Aggiornare le proprie informative privacy di conseguenza

16.4 Storico Versioni

Le versioni precedenti dell'informativa sono archiviate e disponibili su richiesta a: info@relatiacrm.com

17. CONTATTI E ASSISTENZA PRIVACY

Punti di Contatto