1. Titolare del trattamento
Il titolare del trattamento è Tatic ApS (CVR 42532940), Mejsevej 2, Hadbjerg, 8370 Hadsten, Danimarca, operante con la denominazione secondaria OpenBanking IO ApS.
Richieste su privacy e GDPR: [email protected].
2. Cosa raccogliamo
Dati personali: solo il tuo indirizzo email, ricevuto quando accedi tramite OIDC. Lo usiamo per la fatturazione e per le notifiche operative. Nessun marketing senza il tuo consenso, nessuna vendita di dati, nessuna pubblicità, nessuna profilazione.
Dati bancari: con il tuo consenso PSD2, recuperiamo e archiviamo i dati del tuo conto bancario e delle transazioni. Questa è la sostanza del servizio — li trattiamo solo per restituirteli.
3. Finalità e basi giuridiche
- Fornitura del servizio e fatturazione — contratto, GDPR art. 6(1)(b)
- Sicurezza e avvisi quando un consenso bancario sta per scadere — interesse legittimo, GDPR art. 6(1)(f)
- Accesso ai tuoi dati bancari ai sensi della PSD2 — il tuo consenso, GDPR art. 6(1)(a), fornito direttamente presso la tua banca e revocabile in qualsiasi momento
4. Responsabili e sub-responsabili del trattamento
Utilizziamo un piccolo insieme di responsabili del trattamento europei:
- Enable Banking Oy (Espoo, Finlandia) — connettività bancaria; un AISP registrato e vigilato dall'Autorità di vigilanza finanziaria finlandese (FIN-FSA) ai sensi della PSD2. Né noi né Enable Banking conserviamo le tue credenziali bancarie.
- Hetzner (Hetzner Online GmbH / Hetzner Finland Oy) — hosting in data center certificati ISO/IEC 27001:2022 in Germania e Finlandia.
- Gcore — protezione DDoS ed edge di rete, su infrastruttura europea.
- Stripe (Stripe Payments Europe, Ltd., Irlanda) — pagamenti con carta e ricariche. Non conserviamo mai i dati delle carte.
I dati bancari non vengono mai condivisi con terze parti al di là di questi responsabili del trattamento.
5. Dove risiedono i tuoi dati
Tutti i dati sono archiviati ed elaborati all'interno dell'UE — in data center in Germania e Finlandia. Non trasferiamo i tuoi dati al di fuori dell'UE.
6. Conservazione ed eliminazione
Conserviamo i tuoi dati per tutto il tempo in cui il tuo account è attivo. Quando elimini il tuo account, i dati del tuo conto bancario e delle transazioni vengono eliminati.
Puoi anche revocare i singoli consensi bancari in qualsiasi momento; smetteremo quindi di recuperare i dati da quella banca.
7. Sicurezza
I dati sono cifrati in transito e a riposo. L'hosting è eseguito in data center certificati ISO/IEC 27001:2022, protetti da protezione DDoS europea.
Hai trovato una vulnerabilità? Segnalala a [email protected]. Confermiamo la ricezione delle segnalazioni entro 48 ore e ti chiediamo di coordinarti con noi prima di divulgarla pubblicamente.
8. I tuoi diritti
Ai sensi del GDPR hai diritto di accesso, rettifica, cancellazione, portabilità dei dati, limitazione del trattamento e opposizione. Per esercitare uno di questi diritti, scrivi a [email protected].
Se ritieni che trattiamo i tuoi dati in modo illecito, puoi presentare reclamo a Datatilsynet, l'Autorità danese per la protezione dei dati (datatilsynet.dk).
9. Notifiche di scadenza del consenso
Ai sensi della PSD2, i consensi bancari scadono periodicamente e devono essere rinnovati. Ti inviamo un'email prima che un consenso scada così che la sincronizzazione continui senza interruzioni. Si tratta di notifiche operative, non di marketing, e vengono inviate in base al nostro interesse legittimo a mantenere il servizio funzionante per te.
10. Modifiche a questa informativa
Se modifichiamo questa informativa in modo sostanziale — ad esempio aggiungendo un responsabile del trattamento o una nuova finalità — ti avvisiamo via email prima che la modifica abbia effetto. La data in alto riflette sempre la versione corrente.
11. Contatti
- Richieste su privacy e GDPR: [email protected]
- Supporto generale: [email protected]
- Segnalazioni di sicurezza: [email protected]