ForfetTax

Privacy Policy

Informativa sul trattamento dei dati personali effettuato tramite la piattaforma ForfetTax ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679.

Ultimo aggiornamento: 11 giugno 2026

La presente informativa descrive le modalita con cui vengono trattati i dati personali degli utenti che accedono e utilizzano la piattaforma ForfetTax. Il marchio e il sito operano con la denominazione ForfetTax. I dati identificativi completi del titolare non risultano ancora integralmente confermati nel repository. Per questioni privacy e possibile contattare il titolare all'indirizzo info@forfettax.com.

I dati personali trattati attraverso la piattaforma riguardano, in base alle funzionalita effettivamente utilizzate dall'utente, dati di account, dati anagrafici di profilo, dati fiscali, dati contabili e dati relativi alle preferenze applicative. In particolare, per i dati di account vengono trattati indirizzo email, password cifrata con hashing scrypt (gestita internamente) e identificativo utente, al fine di consentire registrazione, autenticazione, sicurezza dell'account e recupero password. Per tali trattamenti la base giuridica e l'art. 6, par. 1, lett. b GDPR e la conservazione avviene per tutta la durata dell'account; alla richiesta di cancellazione l'account viene disattivato subito e i dati vengono eliminati definitivamente dopo 30 giorni (finestra di ripensamento).

Per la configurazione del profilo utente vengono trattati nome, cognome e telefono, con finalita di identificazione interna dell'account e gestione del profilo. Anche in questo caso la base giuridica e l'esecuzione del rapporto contrattuale ai sensi dell'art. 6, par. 1, lett. b GDPR e i dati vengono conservati per tutta la durata del rapporto; dopo la richiesta di cancellazione l'eliminazione definitiva avviene entro 30 giorni. Per la parte fiscale, la piattaforma puo trattare partita IVA, codice fiscale, indirizzo fiscale, comune, provincia, CAP, nazione, codice ATECO, descrizione attivita, data di apertura della partita IVA e configurazione previdenziale e di regime, al fine di personalizzare il motore di simulazione fiscale, i report e le proiezioni. Anche tali trattamenti trovano base nell'art. 6, par. 1, lett. b GDPR e vengono mantenuti fino alla cessazione dell'account, con eliminazione definitiva entro 30 giorni dalla richiesta di cancellazione.

La piattaforma tratta inoltre dati contabili e di movimento, tra cui numero documento, date di emissione, incasso, competenza e previsione, importi, descrizione del movimento, nome cliente, note, tag e categoria. Questi dati sono utilizzati per la memorizzazione dei movimenti, la simulazione fiscale, la reportistica e l'esportazione dei dati, sempre sulla base dell'art. 6, par. 1, lett. b GDPR, con conservazione per tutta la durata dell'account ed eliminazione definitiva entro 30 giorni dalla cancellazione. I singoli movimenti eliminati dall'utente vengono rimossi definitivamente entro 30 giorni (cestino). Infine, vengono trattate alcune preferenze applicative come vista dashboard, promemoria scadenze e, solo previo consenso per la categoria preferenze, il tema grafico dell'interfaccia. Tali preferenze servono alla personalizzazione dell'esperienza d'uso.

Il conferimento dei dati contrassegnati come necessari nei flussi di registrazione, onboarding, configurazione fiscale e caricamento movimenti e indispensabile per creare l'account, usare il servizio e ottenere simulazioni, report ed esportazioni coerenti con il profilo dell'utente. Il mancato conferimento dei dati essenziali impedisce, in tutto o in parte, l'attivazione dell'account o l'erogazione delle funzionalita richieste. I dati facoltativi restano invece opzionali e la loro omissione puo solo ridurre il livello di personalizzazione o completezza delle elaborazioni.

In sintesi, le categorie di trattamento attualmente censite nel progetto sono le seguenti:

  • Dati di account: dati trattati indirizzo email, password cifrata con hashing scrypt (gestita internamente da ForfetTax), identificativo utente; finalita registrazione, autenticazione, sicurezza dell'account, recupero password; base giuridica art. 6, par. 1, lett. b GDPR; conservazione per tutta la durata dell'account; alla cancellazione l'account viene disattivato subito ed eliminato definitivamente dopo 30 giorni.
  • Dati anagrafici di profilo: dati trattati nome, cognome, telefono; finalita configurazione del profilo utente e identificazione interna dell'account; base giuridica art. 6, par. 1, lett. b GDPR; conservazione per tutta la durata dell'account; alla cancellazione l'account viene disattivato subito ed eliminato definitivamente dopo 30 giorni.
  • Dati fiscali dell'utente: dati trattati partita IVA, codice fiscale, indirizzo fiscale, comune, provincia, CAP, nazione, codice ATECO, descrizione attivita, data apertura partita IVA, configurazione previdenziale e di regime; finalita calcolo della simulazione fiscale, personalizzazione delle regole fiscali e generazione dei report; base giuridica art. 6, par. 1, lett. b GDPR; conservazione per tutta la durata dell'account; alla cancellazione l'account viene disattivato subito ed eliminato definitivamente dopo 30 giorni.
  • Dati contabili e di movimento: dati trattati numero documento, date di emissione, incasso, competenza e previsione, importi, descrizione del movimento, nome cliente, note, tag e categoria; finalita memorizzazione dei movimenti, simulazione fiscale, reportistica ed esportazione CSV; base giuridica art. 6, par. 1, lett. b GDPR; conservazione per tutta la durata dell'account; alla cancellazione l'account viene disattivato subito ed eliminato definitivamente dopo 30 giorni.
  • Preferenze applicative: dati trattati vista dashboard, promemoria scadenze, tema UI scelto dall'utente; finalita personalizzazione dell'esperienza d'uso; base giuridica art. 6, par. 1, lett. b GDPR; conservazione per tutta la durata dell'account (eliminazione definitiva entro 30 giorni dalla cancellazione); il consenso cookie e la preferenza tema restano sul dispositivo fino a modifica o cancellazione.

I dati sono trattati con strumenti elettronici, logiche organizzative coerenti con le finalita sopra descritte e misure tecniche ragionevoli di protezione. Dal codebase risultano in particolare autenticazione a sessione, validazione server-side dei principali input, segregazione applicativa dei dati per utente autenticato e trasporto cifrato via HTTPS in produzione. I dati non vengono diffusi e sono accessibili solo al titolare e ai soggetti tecnici strettamente necessari all'erogazione del servizio.

In relazione ai destinatari del trattamento, autenticazione e database sono self-hosted su infrastruttura del titolare collocata in UE (nessun servizio gestito di terzi per questi trattamenti). Tra i responsabili esterni individuati vi e Resend, utilizzato per l'invio delle email transazionali di verifica indirizzo e impostazione/recupero password. La documentazione del fornitore e consultabile ai link Privacy, DPA e Sub-responsabili. Resend ha sede negli USA: il trasferimento avviene sulla base delle Clausole Contrattuali Standard (SCC). Una valutazione di un'alternativa con residenza UE (es. Brevo) e prevista nel piano GDPR. Il monitoraggio tecnico dei processi pianificati (backup, retention) avviene tramite ping privi di dati personali verso il servizio esterno healthchecks.io.

I responsabili esterni attualmente censiti nel progetto sono:

  • Resend: responsabile del trattamento (email transazionali); servizi invio email di verifica indirizzo e di impostazione/recupero password. Le email transazionali sono inviate tramite Resend; vengono trattati l'indirizzo email del destinatario e il contenuto del messaggio. Autenticazione e database sono invece self-hosted su infrastruttura del titolare collocata in UE (nessun fornitore terzo per questi trattamenti). Resend ha sede negli USA: il trasferimento avviene sulla base delle Clausole Contrattuali Standard (SCC). La valutazione di un'alternativa con residenza UE (es. Brevo) e prevista nel piano GDPR.
  • Cloudflare: responsabile del trattamento (CDN/proxy, TLS, protezione DDoS; storage R2 per backup cifrati); servizi reverse proxy e TLS davanti a forfettax.com (il traffico applicativo transita da Cloudflare), storage R2 in giurisdizione UE per i backup del database, cifrati lato server prima dell'upload. Cloudflare instrada il traffico del dominio e ospita i backup cifrati (bucket R2 con residenza UE). I dati del database restano sul server UE del titolare; i backup caricati su R2 sono cifrati con chiavi che Cloudflare non possiede. Cloudflare, Inc. ha sede negli USA: il trasferimento e regolato da DPA con Clausole Contrattuali Standard (SCC).
  • Hosting del server (VPS): responsabile del trattamento (infrastruttura su cui risiedono applicazione e database); servizi housing del server virtuale UE su cui girano applicazione e database. Applicazione e database sono self-hosted su un server virtuale collocato in UE presso un fornitore europeo di infrastruttura (categoria di destinatari ex art. 13, par. 1, lett. e GDPR). L'identita del fornitore puo essere richiesta al titolare scrivendo a info@forfettax.com. Server collocato in UE.

L'interessato puo esercitare i diritti previsti dagli artt. 15-22 GDPR, tra cui accesso, rettifica, cancellazione, limitazione del trattamento, portabilita dei dati e opposizione, nei limiti applicabili. L'utente autenticato puo esportare i propri dati in formato JSON ed eliminare il proprio account direttamente dalla pagina Account. La cancellazione disattiva subito l'account; l'eliminazione definitiva avviene dopo 30 giorni (finestra di ripensamento via email). Le richieste possono essere inviate ai recapiti del titolare indicati in questa pagina; se tali recapiti non sono ancora completi, la pubblicazione definitiva dell'informativa deve considerarsi sospesa fino all'integrazione dei dati mancanti. L'interessato ha inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali.

Dall'analisi del codebase attualmente ispezionato non emergono processi di decisione interamente automatizzata che producano effetti giuridici o analogamente significativi sull'interessato ai sensi dell'art. 22 GDPR. Le elaborazioni presenti in piattaforma hanno natura di supporto, simulazione e organizzazione finanziaria, e richiedono comunque il controllo umano dell'utente.

La presente informativa e redatta sulla base del codebase auditato e delle funzionalita attive alla data di ultimo aggiornamento indicata in pagina. Eventuali modifiche ai trattamenti, ai fornitori tecnici o ai recapiti del titolare dovranno essere recepite con tempestivo aggiornamento del testo.