Informativa sulla privacy
Ultimo aggiornamento: 20 maggio 2026
Introduzione
VantarGroup LLC ("Matproof", "noi", "nostro" o "ci") rispetta la Sua privacy e si impegna a proteggere i Suoi dati personali. La presente informativa sulla privacy spiega come raccogliamo, utilizziamo, divulghiamo e proteggiamo le Sue informazioni quando visita il nostro sito web o utilizza la nostra piattaforma di automazione della compliance.
ℹ️ Avviso importante
Matproof fornisce software di automazione della compliance e NON fornisce consulenza legale, fiscale o di consulenza normativa. Nulla nella presente Informativa sulla privacy o nel nostro Servizio deve essere interpretato come consulenza legale. Si consiglia di consultare professionisti legali e di compliance qualificati in merito ai Suoi specifici obblighi di protezione dei dati.
Informazioni che raccogliamo
Raccogliamo informazioni che Lei ci fornisce direttamente, tra cui:
- Informazioni sull'account (nome, indirizzo email, nome dell'azienda)
- Informazioni di fatturazione (elaborate in modo sicuro tramite il nostro processore di pagamenti)
- Comunicazioni che ci invia (richieste di supporto, feedback)
- Dati di compliance che carica sulla nostra piattaforma (policy, evidenze, controlli)
Come utilizziamo le Sue informazioni
Utilizziamo le informazioni raccolte per:
- Fornire e mantenere la nostra piattaforma di compliance
- Elaborare le Sue transazioni e gestire il Suo account
- Inviarle avvisi tecnici e messaggi di supporto
- Rispondere ai Suoi commenti, domande e richieste di servizio clienti
- Analizzare i modelli di utilizzo per migliorare i nostri servizi (in forma aggregata e anonimizzata)
- Inviare comunicazioni di marketing (con il Suo consenso, ove richiesto)
Archiviazione e sicurezza dei dati
I Suoi dati sono archiviati esclusivamente in data center nell'UE situati in Germania. Implementiamo misure tecniche e organizzative appropriate per proteggere i Suoi dati personali da trattamenti non autorizzati o illeciti, perdita accidentale, distruzione o danno. Queste misure includono la crittografia a riposo e in transito, controlli di accesso e valutazioni periodiche della sicurezza.
I Suoi diritti ai sensi del GDPR
In qualita di interessato nell'Unione Europea, Lei ha i seguenti diritti:
- Diritto di accesso: Puo richiedere una copia dei Suoi dati personali
- Diritto di rettifica: Puo richiedere la correzione di dati inesatti
- Diritto alla cancellazione: Puo richiedere la cancellazione dei Suoi dati personali
- Diritto alla portabilita dei dati: Puo richiedere i Suoi dati in un formato leggibile da dispositivo automatico
- Diritto di opposizione: Puo opporsi al trattamento dei Suoi dati personali
- Diritto di revoca del consenso: Puo revocare il consenso in qualsiasi momento qualora ci basiamo sul consenso per il trattamento dei Suoi dati
Base giuridica del trattamento
Trattiamo i Suoi dati personali sulle seguenti basi giuridiche ai sensi dell'articolo 6 del GDPR:
- Esecuzione del contratto (art. 6(1)(b)): trattamento necessario per fornire i nostri servizi quando si registra o richiede una demo.
- Interessi legittimi (art. 6(1)(f)): analisi per migliorare il nostro sito web e i nostri servizi, nei limiti in cui i nostri interessi non prevalgano sui Suoi diritti.
- Consenso (art. 6(1)(a)): comunicazioni di marketing e invii tramite il modulo di contatto, quando ha fornito il Suo consenso esplicito.
Conservazione dei dati
Conserviamo i dati personali solo per il tempo necessario alle finalità descritte nella presente informativa. In dettaglio: le richieste tramite modulo di contatto sono conservate per 24 mesi. I dati dell'account e i dati di compliance caricati sulla piattaforma sono conservati per la durata del rapporto contrattuale; alla cessazione inizia un periodo di grazia di 30 giorni durante il quale è possibile esportare i dati (diritto alla portabilità), dopodiché segue l'eliminazione automatica e definitiva. I dati analitici sono aggregati/anonimi e conservati fino a 26 mesi. Una conservazione più lunga si applica solo dove richiesto dalla legge (es. § 257 HGB tedesco per dati contabili, 10 anni). Può richiedere la cancellazione in qualsiasi momento.
Cookie e analisi
Su matproof.com (sito di marketing) utilizziamo Umami Analytics per misurazioni di traffico aggregate e senza cookie e — solo dopo il vostro consenso esplicito tramite il banner cookie — Google Ads per il monitoraggio delle conversioni. Entrambi gli strumenti vengono caricati esclusivamente dopo il consenso (§ 25(1) TDDDG, Art. 6(1)(a) GDPR). Nella piattaforma autenticata app.matproof.com utilizziamo PostHog per la product analytics (EU Cloud Francoforte, anch'essa basata sul consenso). Potete revocare il consenso in qualsiasi momento tramite il banner o cancellando lo storage del browser.
Sub-responsabili del trattamento
Ci avvaliamo dei seguenti sub-responsabili ai sensi dell'Art. 28 GDPR. La colonna «Ambito» indica quali fornitori operano solo sul sito pubblico (matproof.com), solo sulla piattaforma autenticata (app.matproof.com) o su entrambi. Tutti dispongono di accordi sul trattamento dei dati. Per i fornitori con sede o trattamento fuori UE (in particolare USA, Regno Unito) sono in essere Clausole Contrattuali Standard UE (SCC 2021/914) ai sensi dell'Art. 46 GDPR e misure tecniche e organizzative supplementari. Nota: i dati inviati tramite moduli web (contatti, strumenti, valutazioni) vengono inoltre scritti nella nostra istanza Twenty CRM auto-ospitata (sulla nostra infrastruttura Hetzner in Germania, raggiungibile su crm.klyntos.com) per il follow-up delle richieste. Non si tratta di un sub-responsabile esterno, ma di uno strumento interno sull'infrastruttura Hetzner già elencata.
| Fornitore | Sede / Soggetto giuridico | Regione di trattamento | Ambito | Finalità | Categorie di dati | Base giuridica |
|---|---|---|---|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, Germania | Falkenstein e Norimberga, DE | Entrambi | Hosting dell'applicazione, calcolo, job cron, sistemi ausiliari auto-ospitati (incluso CRM interno) | Sessioni, log applicativi, tutti i dati in transito attraverso il sistema | Art. 28 GDPR |
| Neon, Inc. | Delaware, USA | AWS eu-central-1 (Francoforte, DE) | App (autenticata) | Hosting di database PostgreSQL | tutti i dati persistenti dei clienti (account, documenti di compliance, audit trail) | Art. 28 GDPR + SCC UE 2021/914 (Modulo 3) |
| Amazon Web Services EMEA SARL | Lussemburgo (capogruppo: AWS Inc., USA) | eu-central-1 (Francoforte, DE) | App (autenticata) | Archiviazione di file (S3), AWS Security Hub | Upload, backup, log di sicurezza | Art. 28 GDPR + AWS GDPR DPA + SCC |
| Upstash, Inc. | Delaware, USA | Regione UE (Francoforte) | App (autenticata) | Cache Redis, ricerca vettoriale per le funzionalità IA | Token di sessione, contatori di rate-limit, vettori di embedding | Art. 28 GDPR + SCC |
| Stripe Payments Europe, Ltd. | Dublino, Irlanda (capogruppo: Stripe, Inc., USA) | UE con failover globale | App (autenticata) | Elaborazione dei pagamenti, gestione degli abbonamenti | Nome, e-mail, indirizzo di fatturazione, metodo di pagamento (tokenizzato) | Art. 28 GDPR + Stripe DPA + SCC |
| Resend, Inc. | Delaware, USA | Multi-regione con routing UE | Entrambi | E-mail transazionali e di marketing | Indirizzi e-mail, contenuto dei messaggi | Art. 28 GDPR + SCC |
| Trigger.dev Ltd. | Londra, Regno Unito | Regno Unito | App (autenticata) | Elaborazione asincrona di job | Payload (possono contenere dati personali) | Art. 28 GDPR + decisione di adeguatezza UE per il Regno Unito |
| OpenAI Ireland Ltd. | Dublino, Irlanda (capogruppo: OpenAI, Inc., USA) | Residenza UE se disponibile, altrimenti USA | App (autenticata) | Inferenza LLM per funzionalità di compliance | Contenuto delle richieste (testi di compliance tipicamente non personali) | Art. 28 GDPR + SCC; nessun addestramento del modello (zero conservazione richiesta) |
| Anthropic, PBC | San Francisco, USA | USA (regione API Anthropic) | App (autenticata) | Inferenza LLM per compliance e sicurezza (assistente IA, agenti Sentinel) | Contenuto delle richieste; con Sentinel: codice sorgente del cliente (opt-in) | Art. 28 GDPR + SCC; nessun addestramento del modello (zero conservazione richiesta) |
| Functional Software, Inc. (Sentry) | San Francisco, USA | Residenza UE (Francoforte) | Entrambi | Monitoraggio di errori e performance | Stack trace, indirizzi IP, ID utente, metadati del browser | Art. 28 GDPR + SCC |
| PostHog, Inc. | San Francisco, USA | EU Cloud (Francoforte) | App (autenticata) | Product analytics nell'app (utenti autenticati) | Dati di dispositivo/browser, ID di sessione, percorsi di clic (pseudonimizzati) | Art. 28 GDPR + SCC + consenso ai sensi del § 25 TDDDG |
| Umami Software, Inc. | USA | USA (Umami Cloud) | Sito marketing | Analytics web anonima per matproof.com (subordinata al consenso) | Pageviews aggregati, referrer, user-agent (nessun cookie, IP non persistito) | Consenso Art. 6 (1) a GDPR + § 25 TDDDG (solo dopo accettazione del banner cookie) |
| Google Ireland Ltd. (Google Ads + GTM) | Dublino, Irlanda (capogruppo: Alphabet Inc., USA) | UE + USA | Sito marketing | Misurazione delle conversioni pubblicitarie; tag management (caricato solo dopo consenso) | Click-ID, indirizzo IP, percorso URL, eventi di conversione (con ads_data_redaction) | Consenso Art. 6 (1) a GDPR + § 25 TDDDG + Google Consent Mode v2 + SCC |
| lempire SAS (lemlist) | Parigi, Francia | UE (Francia) con sub-responsabile AWS | Sito marketing | Attribuzione dei visitatori per le campagne e-mail outbound (sito matproof.com, subordinato al consenso) — collega le visite web ai destinatari delle campagne lemlist | Cookie visitor-ID, indirizzo IP, user-agent, percorsi di pagina, token UTM/campagna | Consenso Art. 6 (1) a GDPR + § 25 TDDDG (solo dopo accettazione del banner cookie) + SCC |
| Google Ireland Ltd. (OAuth Login) | Dublino, Irlanda (capogruppo: Alphabet Inc., USA) | UE + USA | App (autenticata) | Login con Google (OAuth, opzionale per cliente) | E-mail, nome, immagine del profilo | Consenso Art. 6 (1) a GDPR + SCC |
| Cloudflare, Inc. | San Francisco, USA | Edge multi-regione (routing UE preferito) | Entrambi | DNS, CDN, protezione DDoS, WAF, routing e-mail | Indirizzi IP, metadati HTTP, handshake TLS | Art. 28 GDPR + Cloudflare DPA + SCC |
| Dub, Inc. | Delaware, USA | USA | App (autenticata) | Programma referral / partner (attribuzione di click e vendite) | Click-ID, e-mail, Stripe Customer ID, parametri UTM | Art. 28 GDPR + SCC |
| Novu, Inc. | Delaware, USA | USA | App (autenticata) | Orchestrazione notifiche in-app ed e-mail | ID utente, e-mail, payload notifiche | Art. 28 GDPR + SCC |
| Vercel, Inc. | San Francisco, USA | Multi-regione (UE preferita) | App (autenticata) | Hosting di sottodomini Trust Portal del cliente; sandbox; Web Analytics per Trust Portal | Richieste HTTP, contenuti del Trust Portal (pubblicati dal cliente) | Art. 28 GDPR + Vercel DPA + SCC |
| GitHub, Inc. | San Francisco, USA (capogruppo: Microsoft Corp.) | USA | App (autenticata) | Pentest Sentinel: accesso opzionale al codice sorgente del cliente tramite GitHub App Matproof-Sentinel | Contenuti dei repository (codice sorgente), posting di issue (finding) | Art. 28 GDPR + SCC; solo con installazione attiva da parte del cliente |
| Firecrawl, Inc. | San Francisco, USA | USA | App (autenticata) | Scraping web per ricerca fornitori (TPRM, registro DORA Art. 28) | URL pubblicamente accessibili (nessun dato personale) | Interesse legittimo Art. 6 (1) f GDPR |
| Logokit, Inc. (logo.dev) | USA | USA / CDN edge | App (autenticata) | API per logo e favicon nella visualizzazione dei fornitori | Stringhe di dominio (nessun dato personale) | Interesse legittimo Art. 6 (1) f GDPR |
| NIST National Vulnerability Database | Agenzia federale, USA | USA | App (autenticata) | Interrogazione dei dati pubblici CVE per il monitoraggio delle vulnerabilità | Nessun dato personale (solo ID CVE e stringhe di versione) | Fonte pubblica |
Ultimo aggiornamento dell'elenco: 20 maggio 2026. Comunichiamo qualsiasi modifica ai clienti esistenti con almeno 30 giorni di preavviso.
Trasferimenti internazionali di dati (trasferimenti verso paesi terzi)
Laddove ci avvaliamo di sub-responsabili con sede o trattamento dei dati al di fuori dell'UE/SEE (in particolare USA, Regno Unito e filiali UE di gruppi capogruppo statunitensi), i trasferimenti si basano sulle seguenti garanzie ai sensi degli Art. 44 e ss. GDPR: (1) per il Regno Unito: la decisione di adeguatezza dell'UE del 28 giugno 2021; (2) per gli USA e altri paesi terzi: le Clausole Contrattuali Tipo dell'UE (Decisione di esecuzione 2021/914, Modulo 2 o 3 a seconda dei casi); (3) misure tecniche e organizzative supplementari, tra cui cifratura, pseudonimizzazione ove possibile, accordi di zero conservazione dei dati con i fornitori di IA e limitazione contrattuale delle finalità. Manteniamo una Valutazione d'Impatto del Trasferimento (TIA) interna per ciascun sub-responsabile in paese terzo.
Contatti e protezione dei dati
Per domande sulla presente Informativa sulla privacy, per esercitare i Suoi diritti GDPR o per contattare il nostro responsabile della protezione dei dati, La preghiamo di scriverci a:
VantarGroup LLC
Responsabile della protezione dei dati
Email: privacy@matproof.com
30 N Gould St Ste R, Sheridan, WY 82801, USA
Ha inoltre il diritto di proporre reclamo all'autorità di controllo locale. In Italia: Garante per la protezione dei dati personali (Garante Privacy), Roma.