Privacy Policy
Ultimo aggiornamento: maggio 2026
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è Luca Cianci, persona fisica, contattabile all'indirizzo email support@getflowup.com.
2. Dati raccolti
FlowUp raccoglie le seguenti categorie di dati:
- Dati di account: nome, indirizzo email, password cifrata.
- Dati di fatturazione: nome cliente, email cliente, importo e numero fattura inseriti dall'utente.
- Dati di utilizzo: log di invio email, stato dei flow (aperto, pagato, scaduto), timestamp delle azioni.
- Dati tecnici: indirizzo IP, tipo di browser, log di accesso — raccolti automaticamente per sicurezza e diagnostica.
3. Finalità e base giuridica
- Erogazione del servizio (art. 6 par. 1 lett. b GDPR) — gestione account, invio email di sollecito per conto dell'utente.
- Obblighi legali (art. 6 par. 1 lett. c GDPR) — conservazione dei dati contabili nei termini di legge.
- Legittimo interesse (art. 6 par. 1 lett. f GDPR) — sicurezza della piattaforma, prevenzione frodi, miglioramento del servizio.
4. Conservazione dei dati
I dati di account e di fatturazione sono conservati per tutta la durata del rapporto contrattuale e per i successivi 10 anni in ottemperanza agli obblighi fiscali italiani. I log tecnici sono conservati per un massimo di 12 mesi. Alla cancellazione dell'account i dati vengono anonimizzati entro 30 giorni.
5. Sub-processors e trasferimenti internazionali
Per erogare il servizio, FlowUp si avvale dei seguenti sub-processors. Ognuno ha firmato un Data Processing Agreement (DPA) con FlowUp e tratta i dati esclusivamente secondo le istruzioni del titolare.
| Fornitore | Trattamento | Sede dati | Garanzie GDPR |
|---|---|---|---|
| Google Firebase (Google Cloud Platform) | Autenticazione, database Firestore, Cloud Functions, hosting | Region eu-west1 (Belgio) | Trattamento all'interno UE. Sub-processing limitato e disciplinato dalle Clausole Contrattuali Standard (SCC) ex art. 46 GDPR. Certificazioni ISO 27001/27017/27018, SOC 2. |
| Stripe Payments Europe Ltd | Elaborazione pagamenti, gestione subscription e customer portal, ricevute | UE (Irlanda) con sub-processing USA | DPA Stripe + Clausole Contrattuali Standard (SCC) ex art. 46 GDPR. Certificazione PCI-DSS Level 1. FlowUp non vede né salva i dati della carta di credito. |
| Postmark (ActiveCampaign Inc.) | Invio email transazionali (solleciti al debitore, notifiche di sistema all'utente) | USA | DPA Postmark + Clausole Contrattuali Standard (SCC) ex art. 46 GDPR. SOC 2 Type II. I dati del destinatario (nome e email del cliente finale) sono trasmessi esclusivamente per l'invio del messaggio. |
| Sentry (Functional Software, Inc.) | Error monitoring e session replay degli errori applicativi (catturati solo in caso di crash). Tutti i campi testo e gli input vengono mascherati prima dell'invio. | USA | DPA Sentry + Clausole Contrattuali Standard (SCC) ex art. 46 GDPR. ISO 27001, SOC 2 Type II. Configurazione FlowUp: maskAllText, maskAllInputs, blockAllMedia attivi — il contenuto dei form (email cliente, importi, nomi) non viene mai inviato in chiaro. |
Google Firebase(Google Cloud Platform)
- Trattamento
- Autenticazione, database Firestore, Cloud Functions, hosting
- Sede dati
- Region
eu-west1(Belgio) - Garanzie GDPR
- Trattamento all'interno UE. Sub-processing limitato e disciplinato dalle Clausole Contrattuali Standard (SCC) ex art. 46 GDPR. Certificazioni ISO 27001/27017/27018, SOC 2.
Stripe Payments Europe Ltd
- Trattamento
- Elaborazione pagamenti, gestione subscription e customer portal, ricevute
- Sede dati
- UE (Irlanda) con sub-processing USA
- Garanzie GDPR
- DPA Stripe + Clausole Contrattuali Standard (SCC) ex art. 46 GDPR. Certificazione PCI-DSS Level 1. FlowUp non vede né salva i dati della carta di credito.
Postmark(ActiveCampaign Inc.)
- Trattamento
- Invio email transazionali (solleciti al debitore, notifiche di sistema all'utente)
- Sede dati
- USA
- Garanzie GDPR
- DPA Postmark + Clausole Contrattuali Standard (SCC) ex art. 46 GDPR. SOC 2 Type II. I dati del destinatario (nome e email del cliente finale) sono trasmessi esclusivamente per l'invio del messaggio.
Sentry(Functional Software, Inc.)
- Trattamento
- Error monitoring e session replay degli errori applicativi (catturati solo in caso di crash). Tutti i campi testo e gli input vengono mascherati prima dell'invio.
- Sede dati
- USA
- Garanzie GDPR
- DPA Sentry + Clausole Contrattuali Standard (SCC) ex art. 46 GDPR. ISO 27001, SOC 2 Type II. Configurazione FlowUp: maskAllText, maskAllInputs, blockAllMedia attivi — il contenuto dei form (email cliente, importi, nomi) non viene mai inviato in chiaro.
Nessun dato viene venduto o ceduto a terzi per finalità di marketing. L'elenco aggiornato dei sub-processors è disponibile su richiesta scrivendo a support@getflowup.com.
6. Diritti dell'interessato
Ai sensi del GDPR hai diritto di:
- Accedere ai tuoi dati personali (art. 15)
- Rettificarli (art. 16)
- Ottenerne la cancellazione ("diritto all'oblio", art. 17)
- Limitarne il trattamento (art. 18)
- Riceverli in formato portabile (art. 20)
- Opporti al trattamento (art. 21)
Per esercitare questi diritti scrivi a support@getflowup.com. Hai inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).