Informativa Privacy

Ultima modifica: 8 maggio 2026 · Resa ai sensi dell'art. 13 del Reg. UE 2016/679 (GDPR)

1. Titolare del trattamento

Titolare: Stefano Russo
Indirizzo: Italia (sede operativa in fase di formalizzazione — comunicazioni ufficiali via PEC)
Partita IVA: 12004770967
Email: info@mercuriofinance.com
PEC: stefanorussovb@pec.it

Non è nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono i presupposti dell'art. 37 GDPR.

2. Categorie di dati raccolti

Dati di registrazione: email, username, password (memorizzata in forma cifrata con hash bcrypt/scrypt)
Dati di pagamento: gestiti direttamente da Stripe Inc.; il titolare riceve solo conferma di pagamento e ID transazione, NON i dati della carta
Dati di fatturazione: nome, cognome, codice fiscale o P.IVA, indirizzo (per emissione fattura)
Log tecnici: indirizzo IP, data/ora di accesso, user agent del browser (memorizzati per finalità di sicurezza)
Dati di utilizzo: pagine visitate, durata della sessione (in forma aggregata e anonima)

3. Finalità e basi giuridiche del trattamento

Finalità	Base giuridica
Erogazione del servizio (autenticazione, dashboard, fatturazione)	Art. 6.1.b — esecuzione contratto
Adempimenti fiscali e contabili	Art. 6.1.c — obbligo legale (normativa fiscale e contabile)
Sicurezza informatica, prevenzione abusi e frodi	Art. 6.1.f — legittimo interesse
Comunicazioni di servizio (rinnovi, modifiche TOS)	Art. 6.1.b — esecuzione contratto
Eventuale invio di newsletter o comunicazioni promozionali	Art. 6.1.a — consenso esplicito (opzionale e revocabile)

4. Responsabili del trattamento (terze parti)

I dati sono comunicati ai seguenti responsabili esterni del trattamento, che operano per conto del titolare con apposita Data Processing Agreement (DPA):

Fornitore	Finalità e dati trattati	Sede	Garanzie e link
Render Inc.	Hosting dell'applicazione e database utenti (account, watchlist, portfolio, log accessi).	USA (server Frankfurt, EU)	SCC + EU-US DPF · render.com/privacy
Brevo SAS (ex Sendinblue)	Invio email transazionali (verifica, reset password, conferme operazioni). Tratta: indirizzo email destinatario, contenuto del messaggio, timestamp.	Francia, UE	Trattamento all'interno UE · brevo.com/legal/privacypolicy
Cloudflare Inc.	DNS proxy, CDN, protezione DDoS, Turnstile (anti-bot signup), Email Routing in arrivo. Tratta: indirizzo IP visitatori, header HTTP, fingerprint browser anonimizzato.	USA	SCC + EU-US DPF · cloudflare.com/privacypolicy
Sentry (Functional Software Inc.)	Tracciamento errori applicativi (debugging produzione). Tratta: stack trace, IP utente, user agent, URL della richiesta. Personally Identifiable Information disabilitata di default.	USA	SCC + EU-US DPF · sentry.io/privacy
Stripe Inc.	Gestione pagamenti e fatturazione. Tratta: dati di pagamento, dati fatturazione (nome, indirizzo, P.IVA/CF). Il titolare riceve solo conferma di pagamento e ID transazione, NON i dati della carta. Servizio attivato dopo il go-live commerciale.	USA, certificato PCI-DSS Level 1	SCC + EU-US DPF · stripe.com/it/privacy
EODHD (EOD Historical Data Ltd)	Fornitura dati finanziari (prezzi e fundamentals delle aziende analizzate). Le richieste API sono server-side: nessun dato dell'utente finale viene comunicato a EODHD.	Regno Unito	Decisione di adeguatezza UK · eodhd.com/privacy
GitHub Inc.	Repository del codice sorgente (no dati utente — coinvolta indirettamente solo per il deploy automatico).	USA	SCC + EU-US DPF · github.com/privacy

Tutti i fornitori sopra elencati hanno sottoscritto Data Processing Agreement conformi all'art. 28 GDPR. Su richiesta scritta a info@mercuriofinance.com il titolare può fornire copia delle DPA stipulate.

5. Trasferimenti extra-UE

Alcuni dati possono essere trasferiti al di fuori dell'Unione Europea, in particolare negli Stati Uniti (Render, Cloudflare, Sentry, Stripe, GitHub) e nel Regno Unito (EODHD). Tali trasferimenti sono garantiti da:

Standard Contractual Clauses (SCC) approvate dalla Commissione UE (Decisione 2021/914) ex art. 46 GDPR
EU-US Data Privacy Framework (DPF), riconosciuto adeguato dalla Commissione UE con Decisione del 10/07/2023
Decisione di adeguatezza UK ex Reg. UE 2021/1772 per i dati trattati nel Regno Unito

Hai sempre diritto di richiedere ulteriori informazioni sui trasferimenti e di ricevere copia delle garanzie applicate scrivendo a info@mercuriofinance.com.

6. Tempo di conservazione

Dati di account: per tutta la durata del rapporto contrattuale + 10 anni dalla cessazione (per obblighi fiscali e civilistici)
Dati di fatturazione: 10 anni dall'emissione (Codice Civile art. 2220 e normativa tributaria)
Log tecnici di accesso: massimo 12 mesi dalla raccolta
Newsletter (se sottoscritta): fino a revoca del consenso

7. Diritti dell'interessato

In qualità di interessato, ai sensi degli artt. 15-22 GDPR, hai diritto di:

Accesso (art. 15) — sapere quali dati trattiamo
Rettifica (art. 16) — correggere dati inesatti
Cancellazione (art. 17 — "diritto all'oblio")
Limitazione (art. 18) del trattamento
Portabilità (art. 20) — ricevere i tuoi dati in formato strutturato
Opposizione (art. 21) al trattamento basato su legittimo interesse
Revoca del consenso (art. 7) per i trattamenti basati su consenso, in qualsiasi momento

Per esercitare questi diritti, scrivi a info@mercuriofinance.com. Riceverai risposta entro 30 giorni (prorogabili a 60 in caso di particolare complessità).

8. Reclamo all'autorità di controllo

Hai diritto di proporre reclamo al Garante per la protezione dei dati personali (autorità italiana competente):

Sito web: www.garanteprivacy.it
Email: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it

9. Cookie

Mercurio Finance utilizza esclusivamente cookie tecnici essenziali per il funzionamento del login e della sessione. Non vengono utilizzati cookie di profilazione, tracking pubblicitario o di terze parti.

Per i cookie tecnici essenziali non è richiesto consenso preventivo, ai sensi del provvedimento del Garante del 10/06/2021.

10. Modifiche all'informativa

La presente informativa può essere aggiornata. Le modifiche sostanziali saranno comunicate via email agli utenti registrati con almeno 30 giorni di preavviso e pubblicate su questa pagina, con indicazione della data di ultimo aggiornamento.

Torna alla home