Privacy & Policy · NextFlowSolutions

01

Introduzione

La presente Informativa sulla Privacy descrive le modalità con cui NextFlowSolutions raccoglie, utilizza, conserva e protegge i dati personali degli utenti che accedono e utilizzano i servizi offerti tramite la piattaforma. NextFlowSolutions si impegna a trattare i dati personali nel rispetto dei principi di liceità, correttezza, trasparenza e minimizzazione, in conformità al Regolamento (UE) 2016/679 (“GDPR”) e alla normativa nazionale applicabile in materia di protezione dei dati personali. Utilizzando la piattaforma, l’utente dichiara di aver preso visione della presente Informativa.

Identità del Titolare del Trattamento

Il titolare del trattamento dei dati personali è: NEXT FLOW SOLUTIONS DI BIRU IONUT Partita IVA: 14693470966 Sede legale: Assago, Milano

Dati di Contatto

Indirizzo email: contact@nextflowsolutions.it Numero di telefono: +39 347 771 0898 PEC: amministrazione@pec.nextflowsolutions.eu

Di seguito anche “Titolare” o “NextFlowSolutions”.

02

Tipologie di Dati Trattati

Nell’ambito dell’utilizzo del sito, delle applicazioni e dei servizi SaaS di NextFlowSolutions (di seguito, congiuntamente, i “Servizi”), il Titolare può trattare le seguenti categorie di dati personali:

Dati di Registrazione e Account

- nome e cognome; - ragione sociale e dati aziendali; - indirizzo e-mail; - numero di telefono (se fornito); - paese e indirizzo di fatturazione; - dati di login e autenticazione; - preferenze di lingua. Le password non sono in alcun caso conservate in chiaro. L’autenticazione è gestita tramite il servizi che utilizzano meccanismi di cifratura e hashing.

Dati di Utilizzo dei Servizi

- log tecnici relativi all’accesso e all’utilizzo delle funzionalità (data e ora di accesso, indirizzi IP, identificatori di sessione, user agent del browser, eventi applicativi); - configurazioni dell’account, preferenze, impostazioni di progetto; - metadati relativi alle automazioni e integrazioni create tramite n8n (ad es. flussi, trigger, esiti delle esecuzioni, errori); - dati relativi all’utilizzo delle funzionalità di AI (prompt inviati, parametri di richiesta, output restituiti).

Dati di Fatturazione e Pagamenti

- dati anagrafici e di contatto per la fatturazione (nome, cognome, denominazione azienda, indirizzo, codice fiscale/partita IVA); - dati relativi al piano sottoscritto, status dei pagamenti e cronologia di fatturazione. I dati relativi agli strumenti di pagamento (es. numero di carta di credito) sono di norma trattati solo dai prestatori di servizi di pagamento terzi, in qualità di autonomi titolari o responsabili, e non sono conservati da NextFlowSolutions, se non nei limiti degli identificativi tecnici necessari (token, ID transazione, esito).

Dati Trattati tramite i Servizi

Nell’utilizzo dei Servizi l’utente può caricare o generare contenuti che possono contenere dati personali (ad es. dati inseriti in automazioni, documenti elaborati, prompt inviati ai servizi di AI, dati provenienti da sistemi integrati). Tali dati sono trattati dal Titolare esclusivamente per erogare le funzionalità richieste dall’utente.

Dati di Navigazione e Cookie

- dati tecnici di navigazione (indirizzo IP, orario, URL richiesti, codice di risposta del server, parametri del dispositivo); - solo cookie tecnici e funzionali, necessari al funzionamento del sito, alla sicurezza e al mantenimento della sessione. Non vengono utilizzati cookie di marketing o profilazione se non specificatamente attivati.

Dati forniti tramite Contatto e Assistenza

- dati inviati dall’utente tramite e-mail, form di contatto, chat di supporto; - eventuali allegati, screenshot, log forniti dall’utente per assistenza tecnica o commerciale.

03

Finalità e Base Giuridica del Trattamento

I dati personali sono trattati per le seguenti finalità e in base alle seguenti basi giuridiche:

Erogazione dei Servizi e gestione dell’Account

- creare e gestire l’account utente; - consentire l’accesso alle funzionalità della piattaforma (inclusi autenticazione, utilizzo delle automazioni n8n, funzionalità AI, integrazioni con servizi esterni); - fornire assistenza tecnica e clienti; - gestire richieste specifiche dell’utente. Base giuridica: esecuzione di un contratto o di misure precontrattuali (art. 6, par. 1, lett. b GDPR).

Gestione Amministrativa, Contabile e Fiscale

- emissione e conservazione di fatture, ricevute e documentazione contabile; - adempimenti fiscali e legali; - gestione di eventuali contestazioni in ambito amministrativo o fiscale. Base giuridica: adempimento di obblighi legali (art. 6, par. 1, lett. c GDPR).

Sicurezza, Prevenzione Abusi e Tutela dei Diritti

- prevenire e contrastare usi illeciti, fraudolenti o abusivi dei Servizi; - garantire la sicurezza delle infrastrutture e dei dati; - esercitare o difendere un diritto in sede giudiziaria o stragiudiziale. Base giuridica: - legittimo interesse del Titolare alla sicurezza e alla prevenzione di abusi (art. 6, par. 1, lett. f GDPR); - quando necessario, accertamento, esercizio o difesa di un diritto in sede giudiziaria.

Miglioramento dei Servizi e Analisi Tecniche Aggregate

- analisi tecniche, statistiche e di performance in forma aggregata o pseudonimizzata; - sviluppo di nuove funzionalità, ottimizzazione delle prestazioni, diagnosi di problemi tecnici. Base giuridica: legittimo interesse del Titolare al miglioramento dei Servizi (art. 6, par. 1, lett. f GDPR), nel rispetto dei diritti e delle libertà fondamentali degli interessati.

Comunicazioni di Servizio

- invio di comunicazioni strettamente necessarie all’utilizzo dei Servizi (es. aggiornamenti di sicurezza, modifiche ai Termini e Condizioni o alla Privacy Policy, avvisi tecnici, notifiche sui pagamenti e scadenze). Base giuridica: esecuzione del contratto e adempimento di obblighi legali (art. 6, par. 1, lett. b e c GDPR).

Marketing Diretto “Soft” verso Clienti già Acquisiti

- invio di comunicazioni informative o promozionali su Servizi analoghi a quelli già acquistati, esclusivamente a clienti già acquisiti, nel rispetto delle norme italiane sul “soft spam”. Base giuridica: legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR), nei limiti consentiti dalla normativa applicabile, fermo restando il diritto di opposizione dell’utente in qualsiasi momento.

Consenso per Comunicazioni Opzionali

Qualora vengano previste newsletter o comunicazioni promozionali non rientranti nel “soft spam”, potrà essere richiesto uno specifico consenso dell’utente. Base giuridica: consenso (art. 6, par. 1, lett. a GDPR), liberamente revocabile in qualsiasi momento.

04

Modalità di Trattamento e Sicurezza

Il trattamento dei dati avviene: - con strumenti elettronici e informatici, mediante sistemi basati su NuxtJS, NodeJS e MongoDB, o tecnologie analoghe che possono essere usate in sostituzione ad uno o più parti; - tramite misure di sicurezza tecniche e organizzative adeguate a proteggere i dati da accessi non autorizzati, perdita, distruzione o divulgazione non autorizzata; - con logiche strettamente correlate alle finalità indicate e, in ogni caso, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione. In particolare: - le password sono gestite tramite Better Auth, che applica meccanismi di hashing; - l’accesso al database è protetto tramite autenticazione, controllo degli accessi e verifica a più fattori (MFA/OTP); - ove possibile, i dati sono pseudonimizzati o aggregati per attività di analisi tecnica; - sono in essere procedure interne per la gestione degli incidenti di sicurezza e delle violazioni di dati personali (data breach), nel rispetto degli obblighi di notifica previsti dal GDPR.

05

Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti e, in particolare: - dati di account e utilizzo dei Servizi: per tutta la durata del rapporto contrattuale; in caso di chiusura dell’account, per un periodo massimo di 24 mesi, salvo diverso obbligo di legge o necessità di tutela dei diritti del Titolare; - dati di fatturazione e documentazione contabile: per i tempi previsti dalla normativa fiscale e civilistica italiana (normalmente 10 anni); - log tecnici: di norma per un periodo non superiore a 12 mesi, salvo necessità di conservazione per sicurezza o obblighi normativi; - dati trattati tramite i Servizi (contenuti, automazioni, output AI): per tutta la durata di utilizzo dei Servizi e secondo le scelte operate dall’utente all’interno della piattaforma (es. cancellazione di progetti o automazioni), fatti salvi i backup tecnici; - dati trattati per finalità di marketing consentito o newsletter (previo consenso): fino alla revoca del consenso o all’esercizio del diritto di opposizione, fermo restando eventuali tempi tecnici di disattivazione. Al termine dei periodi di conservazione, i dati saranno cancellati, anonimizzati o resi non più riconducibili all’interessato.

06

Comunicazione e Trasferimento dei Dati

I dati possono essere comunicati a: - collaboratori e consulenti del Titolare (es. consulenti legali, fiscali, tecnici) che agiscono quali responsabili o soggetti autorizzati al trattamento; - fornitori di servizi informatici e cloud (hosting, manutenzione, monitoraggio, backup) che operano quali responsabili del trattamento, sulla base di contratti conformi all’art. 28 GDPR; - prestatori di servizi di pagamento e istituti bancari, per la gestione dei pagamenti; - autorità pubbliche e organismi di controllo, se richiesto da obblighi di legge o ordini provenienti da autorità competenti; - eventuali soggetti terzi in caso di operazioni straordinarie (fusioni, acquisizioni, cessione di ramo d’azienda), limitatamente ai dati strettamente necessari e nel rispetto della normativa.

Trasferimenti extra UE

Alcuni fornitori di servizi utilizzati da NextFlowSolutions possono risiedere o trattare dati in Paesi extra UE/SEE (in particolare, per servizi cloud, automazioni, AI). In tali casi, il Titolare garantisce che: - il trasferimento avviene verso Paesi per i quali la Commissione Europea ha adottato una decisione di adeguatezza; - sono adottate clausole contrattuali tipo approvate dalla Commissione Europea, o altre garanzie adeguate ai sensi del GDPR; - ove necessario, sono implementate misure supplementari di sicurezza tecniche e organizzative.

07

Servizi di Terze Parti

Better Auth

L’accesso ai Servizi può essere gestito tramite Better Auth, un servizio di autenticazione e gestione identità. Le password non sono mai salvate in chiaro e sono sottoposte a hashing e altre misure di sicurezza.

Infrastruttura Cloud e Hosting

I Servizi si basano su infrastrutture cloud e servizi esterni (ad es. provider di hosting, CDN, servizi di monitoraggio e log). Tali soggetti agiscono generalmente come responsabili del trattamento, sulla base di istruzioni del Titolare, e trattano i dati personali al solo fine di fornire i servizi tecnici necessari.

Automazioni e Integrazioni

Per consentire la creazione di flussi automatizzati, integrazioni tra strumenti e processi, NextFlowSolutions utilizza n8n e altri eventuali servizi di automazione/integrazione. Attraverso tali strumenti possono transitare dati personali contenuti nei processi dell’utente. Il Titolare tratta tali dati solo per offrire la funzionalità richiesta. L’utente è responsabile, nei confronti dei propri utenti o clienti finali, delle basi giuridiche e della liceità dei dati che decide di far transitare tramite le automazioni.

Servizi di Intelligenza Artificiale

Per alcune funzionalità, NextFlowSolutions si avvale di servizi di AI di terzi (ad esempio, OpenAI o altri fornitori analoghi). - I dati (ad es. prompt, testi, contenuti) inviati ai servizi AI sono utilizzati esclusivamente per erogare la risposta o il risultato richiesto. - I dati degli utenti non sono utilizzati per addestrare modelli proprietari di NextFlowSolutions. - Nella misura in cui il fornitore di AI lo consente e lo dichiara, il Titolare si impegna a disabilitare l’utilizzo dei dati per il training dei modelli del fornitore, ove disponibile tale opzione, o a utilizzare configurazioni/prodotti che escludano tale utilizzo. L’utente è tenuto a non inviare, tramite i Servizi AI, dati particolarmente sensibili o eccedenti rispetto alle finalità del trattamento.

08

Diritti dell’Interessato

In qualità di interessato, l’utente può esercitare, nei limiti previsti dal GDPR, i seguenti diritti: - accesso: ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, nonché ricevere informazioni sui dati trattati; - rettifica: ottenere la correzione di dati personali inesatti o l’integrazione di quelli incompleti; - cancellazione (“diritto all’oblio”): ottenere la cancellazione dei dati personali, quando possibile in base alla normativa applicabile (ad es. al termine del rapporto, revoca del consenso, trattamento illecito); - limitazione: ottenere la limitazione del trattamento in determinate ipotesi (contestazione dell’esattezza dei dati, trattamento illecito, esercizio di un diritto in sede giudiziaria); - portabilità: ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti, e trasmetterli a un altro titolare, ove tecnicamente fattibile e nei limiti previsti; - opposizione: opporsi in qualsiasi momento, per motivi connessi alla propria situazione particolare, al trattamento effettuato sulla base del legittimo interesse; - revoca del consenso: nei casi in cui il trattamento sia basato sul consenso, è possibile revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento svolto prima della revoca. L’interessato ha inoltre il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) o all’autorità di controllo del proprio Paese di residenza o lavoro.

09

Modalità di Esercizio dei Diritti

Per esercitare i propri diritti o per qualsiasi domanda sul trattamento dei dati personali, l’utente può contattare il Titolare ai seguenti recapiti: e-mail: contact@nextflowsolutions.it La richiesta sarà evasa nel più breve tempo possibile e, comunque, entro i termini previsti dal GDPR.

10

Minori di 18 Anni

I Servizi di NextFlowSolutions sono rivolti principalmente a utenti professionali e comunque a persone di età pari o superiore a 18 anni. Il Titolare non raccoglie intenzionalmente dati di minori di 18 anni. Qualora venisse a conoscenza che dati di minori siano stati raccolti senza adeguo consenso o base giuridica, procederà alla loro cancellazione.

11

Aggiornamenti della Policy

La presente Privacy Policy può essere soggetta a modifiche e aggiornamenti, anche in conseguenza di cambiamenti normativi o evoluzioni dei Servizi. Le modifiche saranno pubblicate su questo sito o comunicate tramite i canali idonei (ad es. e-mail, notifiche nel pannello utente). Si invita l’utente a consultare periodicamente questa pagina per verificare eventuali aggiornamenti. L’uso continuato dei Servizi dopo la pubblicazione delle modifiche comporta l’accettazione della Privacy Policy aggiornata, nei limiti consentiti dalla legge applicabile.