Documento legale
Informativa sul Trattamento dei Dati Personali
Ai sensi del Regolamento (UE) 2016/679 (GDPR) — Artt. 13 e 14
Titolare del Trattamento
Il Referente Privacy può essere contattato per qualsiasi questione relativa al trattamento dei Dati Personali e all'esercizio dei diritti degli interessati.
Indice
1.Categorie di Dati Raccolti
In relazione all'utilizzo del Servizio, il Titolare raccoglie le seguenti categorie di dati personali:
1.1 — Dati forniti direttamente dall'interessato
- Dati di registrazione: indirizzo email, password (in forma hash tramite Supabase Auth); in caso di autenticazione Google OAuth: email e nome visualizzato forniti da Google.
- Dati di pagamento: informazioni necessarie per l'elaborazione del pagamento tramite Stripe (carta di credito o debito). Montbon non archivia i dati della carta, che vengono gestiti esclusivamente da Stripe, Inc.
- Dati della Community: username, contenuti (idee di trading, titoli, descrizioni, prezzi di entrata/uscita) pubblicati volontariamente nella sezione Community.
- Dati del Portfolio Tracker: simboli dei titoli, prezzi di acquisto, quantità e date di ingresso/uscita inseriti volontariamente dall'utente. Questi dati non sono condivisi con terzi e rimangono privati.
1.2 — Dati raccolti automaticamente
- Dati di utilizzo: analisi richieste (simbolo del titolo e timeframe), frequenza e timestamp delle richieste, piano di abbonamento attivo, numero di analisi residue.
- Dati tecnici: indirizzo IP (utilizzato per il rate limiting delle analisi gratuite), tipo di browser, sistema operativo, lingua del browser.
- Dati di sessione: token di autenticazione JWT emesso da Supabase, conservato in localStorage del browser.
- Cookie: si rimanda alla Sezione 8 (Cookie Policy).
1.3 — Categorie speciali di dati
Il Titolare non raccoglie volontariamente categorie particolari di dati personali ai sensi dell'art. 9 GDPR (es. dati sulla salute, orientamento politico, origine etnica).
2.Finalità e Basi Giuridiche del Trattamento
La tabella seguente descrive le finalità del trattamento e la relativa base giuridica ai sensi dell'art. 6 GDPR:
| Finalità | Base giuridica | Art. GDPR |
|---|---|---|
| Erogazione del Servizio (analisi, segnali, portfolio) | Esecuzione del contratto | 6(1)(b) |
| Gestione account e autenticazione | Esecuzione del contratto | 6(1)(b) |
| Elaborazione pagamenti e fatturazione | Esecuzione del contratto + Obbligo legale | 6(1)(b)(c) |
| Rate limiting (1 analisi gratuita/mese senza login, 5/mese con account gratuito) tramite IP | Legittimo interesse del Titolare | 6(1)(f) |
| Sicurezza della piattaforma e prevenzione frodi | Legittimo interesse del Titolare | 6(1)(f) |
| Comunicazioni di servizio (email transazionali, notifiche di abbonamento) | Esecuzione del contratto | 6(1)(b) |
| Adempimento obblighi legali (fiscali, contabili) | Obbligo legale | 6(1)(c) |
| Analisi aggregata dell'utilizzo della piattaforma (miglioramento del servizio) | Legittimo interesse del Titolare | 6(1)(f) |
| Comunicazioni di marketing e newsletter (con opt-in) | Consenso dell'interessato | 6(1)(a) |
Dove il trattamento si basa sul consenso, l'interessato ha il diritto di revocarlo in qualsiasi momento senza pregiudizio per la liceità del trattamento effettuato prima della revoca.
3.Modalità del Trattamento
I dati personali sono trattati con strumenti elettronici e informatici, adottando misure tecniche e organizzative adeguate a garantirne la sicurezza e la riservatezza ai sensi dell'art. 32 GDPR. Il trattamento avviene ad opera di personale autorizzato e istruito ai sensi dell'art. 29 GDPR, o di soggetti designati come Responsabili del Trattamento ai sensi dell'art. 28 GDPR.
I dati non sono soggetti a processi decisionali automatizzati che producono effetti giuridici significativi sull'interessato, né a profilazione a fini commerciali, salvo esplicito consenso.
4.Destinatari e Sub-Responsabili del Trattamento
I dati personali possono essere comunicati, nei limiti strettamente necessari, ai seguenti soggetti, designati come Responsabili del Trattamento ex art. 28 GDPR:
| Fornitore | Ruolo | Dati trasmessi | Sede |
|---|---|---|---|
| Supabase, Inc. | Autenticazione, database cloud | Email, dati account, analisi, portfolio | USA (SCCs) |
| Stripe, Inc. | Elaborazione pagamenti | Dati di fatturazione, metodo di pagamento | USA (SCCs) |
| Anthropic, PBC | Generazione analisi AI | Dati tecnici di mercato (simbolo, indicatori — NO dati personali) | USA (SCCs) |
| Vercel, Inc. | Hosting frontend | Indirizzo IP, log di accesso | USA (SCCs) |
| Google LLC | Autenticazione OAuth (opzionale) | Email, ID Google (solo se l'utente sceglie Google OAuth) | USA (SCCs) |
| Google Analytics | Analisi utilizzo piattaforma (aggregata) | Dati anonimi di navigazione, IP anonimizzato | USA (SCCs) |
I dati non vengono venduti a terzi. I contenuti pubblicati nella Community (idee di trading) sono visibili agli altri utenti registrati della piattaforma in quanto funzionalità volontariamente utilizzata dall'interessato.
Nota su Anthropic: le richieste di analisi AI inviate ad Anthropic contengono dati tecnici di mercato (simbolo del titolo, indicatori numerici) ma non contengono dati personali dell'utente (email, nome, ID). Il simbolo del titolo analizzato non è di per sé un dato personale ai sensi del GDPR.
5.Trasferimento dei Dati Extra-UE
Alcuni fornitori di servizi hanno sede negli Stati Uniti d'America. I trasferimenti di dati verso tali fornitori avvengono nel rispetto delle garanzie previste dal Capo V del GDPR, in particolare mediante l'adozione di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914/UE) e/o, ove applicabile, tramite il framework Data Privacy Framework (DPF) UE-USA.
L'elenco aggiornato dei trasferimenti extra-UE e delle relative garanzie è disponibile su richiesta contattando info@montbon.com.
6.Periodi di Conservazione dei Dati
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati di account (email, password hash) | Per tutta la durata del rapporto contrattuale + 2 anni dalla chiusura |
| Storico analisi richieste | Per tutta la durata del rapporto contrattuale + 1 anno dalla chiusura |
| Dati del portfolio tracker | Per tutta la durata del rapporto contrattuale; cancellati su richiesta |
| Dati di pagamento e fatturazione | 10 anni (obbligo fiscale — art. 2220 c.c.) |
| Log di accesso (IP per rate limiting) | 90 giorni dalla registrazione |
| Contenuti Community (idee di trading) | Fino alla cancellazione da parte dell'utente o 90 giorni dalla chiusura dell'account |
| Cookie analytics (Google Analytics) | 26 mesi (policy Google Analytics GA4) |
| Dati per marketing (newsletter) — se consenso prestato | Fino a revoca del consenso + 1 anno |
Alla scadenza dei termini di conservazione, i dati vengono cancellati in modo sicuro o anonimizzati irreversibilmente per fini statistici aggregati.
7.Diritti dell'Interessato
Ai sensi degli artt. 15–22 GDPR, l'interessato ha il diritto di:
Diritto di accesso (art. 15)
Ottenere conferma che sia in corso un trattamento di dati che lo riguardano e, in tal caso, ottenerne copia.
Diritto di rettifica (art. 16)
Ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
Diritto alla cancellazione ("diritto all'oblio") (art. 17)
Ottenere la cancellazione dei dati personali, nei casi previsti dalla normativa (es. quando non sono più necessari alle finalità per cui sono stati raccolti, o in caso di revoca del consenso senza altro fondamento giuridico).
Diritto di limitazione del trattamento (art. 18)
Ottenere la limitazione del trattamento in determinate circostanze (es. contestazione dell'accuratezza dei dati).
Diritto alla portabilità dei dati (art. 20)
Ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad altro titolare (applicabile ai trattamenti basati su contratto o consenso effettuati con mezzi automatizzati).
Diritto di opposizione (art. 21)
Opporsi al trattamento basato su legittimo interesse o per finalità di marketing diretto.
Diritto di non essere sottoposto a decisioni automatizzate (art. 22)
Non essere soggetto a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici significativi.
Come esercitare i diritti
Per esercitare uno qualsiasi dei diritti sopra elencati, l'interessato può inviare richiesta scritta a: info@montbon.com oppure al Referente Privacy all'indirizzo info@montbon.com. Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta (estendibili di altri 60 giorni in casi complessi, con comunicazione del motivo entro i primi 30 giorni).
Diritto di proporre reclamo all'Autorità di Controllo
L'interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (Italia), raggiungibile all'indirizzo: www.garanteprivacy.it, oppure all'autorità di controllo del Paese UE di residenza abituale o di lavoro.
8.Cookie Policy
8.1 — Cosa sono i cookie
I cookie sono piccoli file di testo che i siti web salvano sul browser dell'utente. La presente sezione costituisce la Cookie Policy ai sensi dell'art. 122 del D.Lgs. 196/2003 (Codice Privacy), come modificato dal D.Lgs. 101/2018, e in conformità con la Direttiva ePrivacy 2002/58/CE.
8.2 — Cookie utilizzati dalla Piattaforma
| Cookie / Storage | Tipo | Finalità | Base giuridica |
|---|---|---|---|
| sb-[project]-auth-token (localStorage) | Tecnico / sessione | Token JWT per autenticazione Supabase (persistenza della sessione) | Necessario per il Servizio — consenso non richiesto |
| _ga, _ga_[ID] (cookie) | Analitico di terza parte (Google Analytics GA4) | Analisi aggregata dell'utilizzo della piattaforma (pagine visitate, durata sessione) | Consenso dell'utente |
| stripe_mid, stripe_sid (cookie) | Tecnico di terza parte (Stripe) | Prevenzione frodi nei pagamenti | Necessario per il Servizio di pagamento |
8.3 — Cookie analytics e consenso
I cookie di Google Analytics (GA4) sono installati solo previo consenso espresso dell'utente, raccolto tramite il banner di consenso cookie visualizzato al primo accesso alla Piattaforma. Il consenso può essere revocato in qualsiasi momento accedendo alle impostazioni cookie dalla home page o scrivendo a info@montbon.com.
Il banner di consenso cookie è attivo sulla piattaforma. Google Analytics viene caricato esclusivamente dopo il consenso esplicito dell'utente tramite il cookie banner. L'utente può modificare le proprie preferenze in qualsiasi momento tramite il link "Preferenze Cookie" nel footer del sito.
8.4 — Come gestire i cookie
L'utente può gestire le proprie preferenze sui cookie tramite le impostazioni del browser. La disabilitazione dei cookie tecnici potrebbe pregiudicare il corretto funzionamento dell'autenticazione e di alcune funzionalità della Piattaforma.
9.Sicurezza dei Dati
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per proteggere i dati personali da accesso non autorizzato, perdita, distruzione o divulgazione. Tra le misure adottate:
- trasmissione dati cifrata tramite HTTPS/TLS;
- password degli utenti archiviate in forma hashed (bcrypt) tramite Supabase Auth;
- autenticazione a due fattori disponibile tramite provider OAuth (Google);
- token JWT con scadenza e refresh token per la gestione delle sessioni;
- accesso ai dati limitato al personale autorizzato secondo il principio del minimo privilegio;
- webhook Stripe verificati tramite firma crittografica (HMAC-SHA256);
- separazione logica dei dati per utente nel database Supabase.
In caso di violazione dei dati personali (data breach) che comporti un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare notificherà gli interessati senza ingiustificato ritardo, ai sensi dell'art. 34 GDPR.
10.Modifiche alla Presente Informativa
Il Titolare si riserva il diritto di aggiornare la presente Informativa in qualsiasi momento. Le modifiche sostanziali saranno comunicate tramite notifica via email o avviso nella Piattaforma con almeno 30 giorni di preavviso, indicando la data di entrata in vigore. L'utilizzo continuato del Servizio dopo la data di entrata in vigore delle modifiche costituisce accettazione della nuova Informativa. La versione precedente sarà archiviata e disponibile su richiesta.
Montbon Analytics — Titolare del trattamento — info@montbon.com — Referente Privacy: info@montbon.com • Documento conforme al Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018. • Versione 1.0 — Marzo 2026.