Privacy Policy

1. Titolare del trattamento

2. Ambito di questa Privacy Policy

La presente informativa descrive il trattamento dei dati personali effettuato attraverso le piattaforme web Dopopay, myDopopay e l'applicazione mobile myDopopay Mobile (di seguito congiuntamente, il "Servizio"). Il Servizio è destinato esclusivamente a dealer commerciali con contratto attivo con Monetito Payments S.r.l.

L'app mobile opera come strumento operativo companion: consente ai dealer contrattualizzati di accedere da smartphone a un sottoinsieme delle funzioni disponibili sulla piattaforma web (generazione link di pagamento, invio SMS, monitoraggio transazioni). Non è previsto self-onboarding né tramite sito né tramite app: l'acquisizione di nuovi dealer avviene esclusivamente attraverso processo commerciale e sottoscrizione contrattuale presso gli uffici Monetito.

3. Dati personali trattati

Trattiamo le seguenti categorie di dati personali:

3.1 Dati forniti in fase di contrattualizzazione

• Nome, cognome, ragione sociale
• Email di contatto
• Numero di telefono
• Partita IVA / Codice Fiscale
• Indirizzo attività

3.2 Dati di autenticazione

• Username
• Password (memorizzata esclusivamente in forma crittografata/hash presso il nostro fornitore di identità AWS Cognito; non è mai memorizzata in chiaro né lato server né lato app)
• Token di sessione JWT e refresh token (nell'app mobile, memorizzati sul dispositivo dell'Utente in area crittografata hardware — Android Keystore / iOS Keychain)

3.3 Dati transazionali

• Importi, valuta, stato dei pagamenti
• Identificativi dei link di pagamento generati
• Dati restituiti dal circuito Stripe: nome del cliente finale, metodo di pagamento (senza dati di carta), fee, netto

3.4 Dati dei clienti finali inseriti dal dealer

• Numero di telefono del destinatario del link di pagamento, inserito manualmente dal dealer per l'invio tramite SMS

3.5 Dati di utilizzo

• Indirizzo IP, identificativo dispositivo, timestamp delle richieste, endpoint API chiamati, codici di risposta, user agent del browser

L'app mobile NON raccoglie dati di geolocalizzazione, contatti della rubrica, foto, video, audio, calendario, cronologia di navigazione web né identificatori pubblicitari. Non sono integrati SDK di analytics o pubblicitari.

4. Finalità del trattamento

• Fornitura del Servizio: autenticazione, generazione link di pagamento, invio SMS, rendicontazione transazioni
• Adempimenti di legge: obblighi fiscali, antiriciclaggio (D.Lgs. 231/2007), contabili
• Sicurezza: prevenzione frodi, rilevamento anomalie, audit dei log di accesso
• Gestione del rapporto contrattuale: fatturazione, supporto, comunicazioni operative

5. Base giuridica

• Art. 6(1)(b) GDPR — Esecuzione del contratto: per tutti i trattamenti strumentali alla fornitura del Servizio
• Art. 6(1)(c) GDPR — Obbligo legale: per obblighi fiscali, antiriciclaggio e conservazione documentale
• Art. 6(1)(f) GDPR — Legittimo interesse: per finalità di sicurezza, prevenzione frodi e tutela dei diritti del Titolare

6. Destinatari e responsabili esterni

I dati sono trattati anche da fornitori esterni che agiscono quali responsabili del trattamento ai sensi dell'art. 28 GDPR, vincolati da contratto e da misure di sicurezza adeguate:

• AWS Cognito (Amazon Web Services EMEA SARL / Amazon Web Services Inc.) — Servizio di autenticazione e gestione identità. Regione di trattamento: UE/USA.
• AWS Lambda (Amazon Web Services EMEA SARL / Amazon Web Services Inc.) — Esecuzione di funzioni backend. Regione: UE/USA.
• Vercel Inc. — Hosting di parte dell'infrastruttura backend. Regione: USA.
• Neon Inc. — Database relazionale gestito (PostgreSQL serverless) per la persistenza dei dati applicativi. Regione: Stati Uniti (US East). Trasferimento basato su Clausole Contrattuali Standard (SCC).
• Stripe Inc. / Stripe Payments Europe Ltd. — Elaborazione dei pagamenti. I dati di carta sono raccolti e trattati direttamente da Stripe tramite pagine hosted; il Servizio non ha accesso a dati di carta. Regione: USA/Irlanda.
• Brevo (Sendinblue SAS) — Gateway per l'invio di SMS transazionali contenenti i link di pagamento. Regione: Francia (UE).
• Iubenda S.r.l. — Gestione della Cookie Policy e strumenti di compliance legale. Regione: Italia (UE).

Non vendiamo né cediamo dati personali a terze parti per finalità di marketing o profilazione.

7. Trasferimenti extra-UE

Alcuni dei fornitori elencati (AWS, Vercel, Neon, Stripe) trattano dati in Paesi al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti. Tali trasferimenti avvengono sulla base delle Clausole Contrattuali Standard (Standard Contractual Clauses — SCC) approvate dalla Commissione Europea ai sensi dell'art. 46 GDPR, e, ove applicabile, sulla base della certificazione al Data Privacy Framework UE-USA. Copia delle garanzie adottate è disponibile su richiesta scrivendo a info@monetito.it.

8. Periodo di conservazione

• Dati contrattuali e transazionali: 5 anni dalla cessazione del rapporto, in adempimento degli obblighi previsti dal D.Lgs. 231/2007 (antiriciclaggio) e dalla normativa fiscale
• Dati anagrafici del dealer: per la durata del rapporto contrattuale, più il periodo di conservazione legale applicabile
• Log di sicurezza e accesso: fino a 12 mesi
• Token di autenticazione sul dispositivo mobile: cancellati al logout dell'Utente o alla disinstallazione dell'App
• Numeri di telefono dei clienti finali (per SMS): non persistenti nell'app mobile; trasmessi al backend solo al momento dell'invio e conservati secondo i medesimi termini dei dati transazionali

9. Sicurezza e archiviazione

• Tutti i dati in transito viaggiano su canale cifrato TLS 1.2+ (HTTPS). Il traffico in chiaro è disabilitato nelle build di produzione
• Nell'app mobile, i token di autenticazione (JWT, refresh token) sono memorizzati in Android Keystore / iOS Keychain con crittografia hardware-backed
• I dati di profilo non sensibili (identificativo utente, email, ruolo) sono memorizzati in storage locale non cifrato sul dispositivo
• La password dell'Utente non è mai memorizzata localmente, né in chiaro né in forma cifrata
• Adottiamo misure organizzative quali controllo degli accessi, formazione del personale e backup regolari

10. Diritti degli interessati (artt. 15-22 GDPR)

L'Utente può esercitare in qualsiasi momento i seguenti diritti:

• Accesso ai propri dati personali (art. 15)
• Rettifica (art. 16)
• Cancellazione / diritto all'oblio (art. 17), fatti salvi gli obblighi di conservazione legale
• Limitazione del trattamento (art. 18)
• Portabilità dei dati (art. 20)
• Opposizione al trattamento (art. 21)
• Revoca del consenso, ove il trattamento sia basato su di esso

Le richieste vanno inviate all'indirizzo disdette@monetito.it. Risponderemo entro 30 giorni dalla ricezione, come previsto dall'art. 12 GDPR.

L'Utente ha inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

11. Disdetta e cessazione del rapporto

Dopopay opera in modello B2B contrattualizzato: la cessazione del rapporto avviene esclusivamente tramite disdetta contrattuale scritta all'indirizzo disdette@monetito.it. Le condizioni specifiche sono regolate dal contratto sottoscritto tra le Parti.

Alla cessazione del rapporto, i dati personali non soggetti a obblighi di conservazione legale vengono cancellati entro 30 giorni dalla richiesta dell'interessato. I dati soggetti a obblighi di legge (fiscali, antiriciclaggio, contabili) sono conservati per 5 anni nei sistemi interni di Monetito Payments S.r.l., con accesso limitato al personale autorizzato.

12. Minori

Il Servizio è destinato esclusivamente a utenti maggiorenni (18+) operanti come dealer commerciali. Non raccogliamo consapevolmente dati di minori.

13. Cookie e tecnologie simili

Il sito dopopay.it utilizza cookie tecnici e, previo consenso, cookie di terze parti. Per il dettaglio delle categorie di cookie utilizzati e per gestire le tue preferenze, consulta la Cookie Policy.

L'app mobile myDopopay non utilizza cookie né tecnologie di tracking.

14. Modifiche alla presente informativa

Il Titolare si riserva il diritto di modificare la presente Privacy Policy in qualsiasi momento, dandone comunicazione all'Utente tramite il sito e/o l'app mobile. La data di ultimo aggiornamento è indicata in cima a questo documento. È responsabilità dell'Utente consultare periodicamente questa pagina per restare informato.

15. Contatti