Versione 1.4 – in vigore dal 3 marzo 2026 · KontoCSV – https://kontocsv.de
La presente informativa La informa ai sensi dell'art. 12 – 14 GDPR e § 25 TDDDG sul tipo, l'ambito e lo scopo del trattamento dei dati personali quando si utilizza KontoCSV.
1 organismo responsabile
Tom Abraham
Riemekestraße 118 · 33102 Paderborn · Germania
E-mail support@kontocsv.de
(Attualmente < 20 persone trattano regolarmente dati personali - ai sensi dell'articolo 38 BDSG non è necessario nominare un responsabile della protezione dei dati. In caso di domande si prega di contattare direttamente il responsabile.)
2 definizioni
Si applicano le definizioni di cui all'articolo 4 DSGVO (ad esempio "trattamento", "dati personali").
3 Hosting e infrastruttura
| servizio | Posizione | Scopo | Base giuridica | Contratto/assicurazione |
|---|---|---|---|---|
| Google Cloud Run (Google Ireland Ltd.) | Regione europa-ovest3 (Francoforte sul M.) | Funzionamento e fornitura del sito web / API | Arte. 6 par. 1 seg | Addendum sul trattamento dei dati nel cloud (CDPA) incl. SCC, accettato il 10 · 06 · 2025 |
| Supabase (Supabase Inc.) | eu-central-1 (Francoforte) | Autenticazione, database, archiviazione di oggetti | Arte. 6 par. 1 b | Contratto AV + SCC |
| Supabase | eu-ovest3 / eu-ovest1 (Supabase / Archiviazione) | DB in tempo reale, archiviazione, autenticazione, notifiche push | Arte. 6 par. 1 b e art. 6 par. 1 seg | Supabase Termini per il trattamento dei dati + SCC, accettati il 10 · 06 · 2025 |
| Google Vertex AI / Gemini (Google Ireland Ltd.) | Regione europa-ovest3 (Francoforte sul M.) | Analisi basata sull'intelligenza artificiale di PDF documenti | Arte. 6 par. 1 b | Addendum sul trattamento dei dati nel cloud (CDPA) incl. SCC |
| Render (Render Inc.) | Francoforte (FRA) | Funzionamento del backend Python ed elaborazione dei documenti | Arte. 6 par. 1 seg | Accordo sul trattamento dei dati (DPA) + SCC |
| Stripe (Stripe Payments Europe Ltd.) | Irlanda | Elaborazione dei pagamenti | Arte. 6 par. 1 b | Servizio autoresponsabile |
| Vercel Inc. | Francoforte, eu-central-1 / fra1 | Hosting frontend, CDN, funzioni serverless | Arte. 6 par. 1 seg | DPA + SCC + EU-US DPF |
| Resend Inc. | Irlanda (eu-ovest-1) | Email transazionali (registrazione, reimpostazione password) | Arte. 6 par. 1 b | DPA + SCC |
| PostHog Inc. | UE (Francoforte, AWS eu-central-1) | Analisi web, visualizzazioni di pagina, clic | Arte. 6 par. 1 seg | DPA + SCC |
| Sentry (Software funzionale Inc.) | UE (Francoforte) | Registrazione degli errori e analisi della stabilità tecnica della piattaforma | Arte. 6 par. 1 f DSGVO | Accordo sul trattamento dei dati (DPA) + Clausole contrattuali tipo (SCC) |
L'analisi web è priva di cookie senza cookie o archiviazione locale (PostHog cookieless_mode). Non vengono impostati cookie di analisi, non è richiesto alcun banner di consenso.
4 Finalità del trattamento e basi giuridiche
| Elaborazione | Dati | Scopo | Base giuridica |
|---|---|---|---|
| Accesso al sito web | Indirizzo IP, agente utente, ora, referrer | Distribuzione tecnica e registri di sicurezza | Arte. 6 par. 1 seg |
| Registrazione/Accesso | E-mail, hash della password, token di sessione | Esecuzione del contratto | Arte. 6 par. 1 b |
| PDF caricamento e analisi AI | PDF contenuto, metadati | Conversione in CSV | Arte. 6 par. 1 b |
| Pagamento | Nome, email, dettagli della carta | Esecuzione del contratto | Arte. 6 par. 1 b |
| Sincronizzazione/Autenticazione in tempo reale (Supabase) | Token del dispositivo, ID app, dati degli eventi | Stato in tempo reale e notifiche push | Arte. 6 par. 1 seg |
| Contatto di supporto | E-mail, messaggio | Stiamo elaborando la tua richiesta | Arte. 6 par. 1 seg |
| Analisi web (PostHog, senza cookie) | Hash utente anonimo, visualizzazioni di pagina, clic | Miglioramento del prodotto e ottimizzazione della conversione | Arte. 6 par. 1 seg |
| Log degli errori (Sentry) | dati sugli errori tecnici, tipo di browser, IP anonimizzato | Stabilità, analisi degli errori e miglioramento tecnico della piattaforma | Arte. 6 par. 1 f DSGVO |
| Cookie/Archiviazione locale | Token di sessione e CSRF | Persistenza dell'accesso | § 25 comma 2 n. 2 TDDDG i. V. con l'art. 6 par. 1 seg |
Sentry viene utilizzato esclusivamente per l'analisi degli errori tecnici. I dati personali non vengono trasmessi attivamente.
Il monitoraggio degli errori non salva il contenuto dei documenti caricati. I dati finanziari, il contenuto PDF e i dati delle transazioni non vengono mai trasmessi ai servizi di monitoraggio degli errori. Vengono elaborati solo i metadati degli errori tecnici.
Non vengono impostati cookie di analisi o di marketing. L'analisi web avviene senza cookie (PostHog cookieless_mode) senza cookie o archiviazione locale; non è quindi necessario il banner di consenso.
5 Elaborazione supportata dall'intelligenza artificiale e trasferimenti a paesi terzi
Le pagine PDF caricate vengono trasmesse crittografate ai servizi AI per estrarre automaticamente la struttura del testo e del documento.
- Google Gemini / Vertex AI (primario): elaborazione nella regione europa-ovest3 (Francoforte sul M.) all'interno dell'infrastruttura Google Cloud. La base è l'Google Cloud Addendum sul trattamento dei dati (CDPA) che include le clausole contrattuali tipo (SCC).
- OpenAI (fallback opzionale): viene utilizzato solo in casi tecnici eccezionali; Elaborazione in Irlanda/USA con DPA 07 · 06 · 2025 incl. SCC e EU-US DPF.
Per tutti i servizi AI vale quanto segue:
- Periodo di conservazione: massimo 30 giorni (API conservazione).
- Formazione: I dati API non vengono utilizzati per l'addestramento del modello.
- Decisioni automatizzate: nessuna decisione i. S.v. Articolo 22 DSGVO, solo estrazione basata su regole.
Supabase è gestito nei data center dell'UE. Il trattamento viene effettuato in modo pienamente conforme DSGVO con misure tecniche aggiuntive (TLS 1.3, controllo degli accessi).
6 periodi di conservazione
| Tipo di dati | Cancellazione/conservazione |
|---|---|
| Registri del server | 30 giorni |
| PDF file e risultati intermedi | eliminazione definitiva automatica ≤ 7 giorni |
| Dati contrattuali e di fatturazione | 10 anni (HGB, AO) |
| E-mail di supporto | ≤ 1 anno dalla laurea |
| Token di sessione | Cancellazione al momento della cancellazione dell'account o della rinuncia |
7 Misure tecniche e organizzative (TOM)
•TLS 1.3 End-to-End · AES-256 a riposo
•Crittografia CMEK opzionale in Cloud Run e Supabase
•Concetto di ruoli e diritti, MFA per gli account amministratore
•Elaborazione in memoria + routine di eliminazione in 7 giorni
•Pen test e scansioni di vulnerabilità almeno una volta all'anno
•Monitoraggio dei subresponsabili (preavviso di 15 giorni)
8 I tuoi diritti (Art. 15 – 22 DSGVO)
In qualsiasi momento è possibile richiedere informazioni, correzione, cancellazione, limitazione, portabilità dei dati o opposizione.
Self-service nel dashboard:
- Dati di esportazione (articolo 20): In Impostazioni → “Esporta i miei dati” puoi scaricare tutti i tuoi dati come file JSON.
- Eliminazione dell'account (articolo 17): Puoi eliminare irrevocabilmente il tuo account e tutti i dati associati in Impostazioni → "Elimina account".
In alternativa potete contattarci tramite email: support@kontocsv.de
Hai anche il diritto di presentare un reclamo a un'autorità di controllo della protezione dei dati (ad esempio BayLDA, Promenade 27, 91522 Ansbach).
9 Revoca del consenso
Puoi revocare in modo informale in qualsiasi momento il trattamento basato sul tuo consenso. Resta salva la liceità dei trattamenti precedenti.
10 Obbligo di conferimento dei dati
Email, password e dettagli di pagamento sono richiesti per la registrazione, il caricamento di PDF e il pagamento. Senza queste informazioni non è possibile utilizzare i servizi a pagamento.
11 Modifiche alla presente Informativa
Aggiorneremo la presente dichiarazione sulla protezione dei dati non appena le procedure, i fornitori di servizi o le situazioni legali cambiano. Versione attuale: https://kontocsv.de/it/privacy · Versione 1.4 – valida dal 3 marzo 2026.