Documento legale

Informativa sul trattamento dei dati personali

Heila tratta i dati personali degli utenti nel rispetto del Regolamento (UE) 2016/679 (GDPR). Questo documento descrive cosa raccogliamo, perché, come lo proteggiamo e quali diritti hai.

Versione 1.0Ultimo aggiornamento: 19 maggio 2026
Indice
  1. Chi siamo
  2. Quali dati raccogliamo
  3. Arricchimento AI
  4. Conferimento dati
  5. Destinatari e sub-processor
  6. Trasferimenti extra-UE
  7. Comunicazione a terzi
  8. Conservazione
  9. Diritti dell'interessato
  10. Sicurezza e data breach
  11. Cookie
  12. Minori
  13. Modifiche

1. Chi siamo (Titolari del trattamento)#

Ai sensi e per gli effetti dell'art. 13 del Regolamento (UE) 2016/679 ("GDPR"), Titolare del trattamento dei dati personali raccolti tramite il sito heila.me e il servizio software-as-a-service ad esso collegato (di seguito, il "Servizio" o "Heila") è il team che gestisce il progetto "Heila" (di seguito, anche "Titolari", "noi" o "Heila").

Il progetto Heila si trova in fase di validazione dell'idea: allo stato non esiste alcuna entità giuridica dedicata all'erogazione del Servizio, che viene erogato in proprio dai fondatori del progetto quali persone fisiche. Qualora in futuro venga costituita una società per la gestione del Servizio, la titolarità del trattamento sarà trasferita a tale entità (di seguito, la "Società") e la presente informativa sarà aggiornata di conseguenza. Gli utenti saranno informati di tale subentro via email all'indirizzo registrato.

Canale di contatto unico per qualunque richiesta relativa alla privacy: info@heila.me.

Data Protection Officer (DPO): Non nominato. Ai sensi dell'art. 37 GDPR, la nomina del DPO non è obbligatoria per Heila in questa fase, in quanto (i) non è un'autorità o organismo pubblico, (ii) le attività principali non consistono in trattamenti che richiedono monitoraggio sistematico su larga scala, (iii) non vengono trattate categorie particolari di dati o dati relativi a condanne penali su larga scala.

2. Quali dati raccogliamo e perché#

Heila tratta tre famiglie di dati personali. Per ciascuna indichiamo natura, finalità, base giuridica e durata della conservazione.

2.1 Dati di navigazione

Cosa raccogliamo: indirizzo IP, tipo e versione del browser, sistema operativo, pagine visitate, data e ora di accesso, eventi di interazione anonimi (es. click), eventuali parametri UTM provenienti da campagne di acquisizione.

Perché: garantire il funzionamento e la sicurezza del Servizio, prevenire abusi, raccogliere statistiche aggregate sull'utilizzo per migliorare il prodotto.

Base giuridica: legittimo interesse del Titolare a garantire il corretto funzionamento e la sicurezza del Servizio (art. 6.1.f GDPR). Per gli strumenti analitici e di marketing soggetti a consenso, la base giuridica è il consenso dell'interessato (art. 6.1.a GDPR), prestato tramite il banner cookie.

Conservazione: log di sicurezza fino a 12 mesi; dati analitici aggregati e anonimizzati senza limite di tempo.

2.2 Dati di account e contatto

Cosa raccogliamo: nome, cognome, indirizzo email, password (conservata in forma cifrata mediante hashing), eventuale numero di telefono se fornito, lingua dell'interfaccia, preferenze di notifica.

Perché: creare e gestire l'account utente, autenticare l'accesso, inviare comunicazioni di servizio (es. notifiche di nuove opportunità rilevanti, alert di sicurezza, comunicazioni contrattuali) e, previo consenso, comunicazioni commerciali (es. newsletter, aggiornamenti di prodotto).

Base giuridica: esecuzione del contratto di cui l'interessato è parte, ossia l'erogazione del Servizio (art. 6.1.b GDPR); per le comunicazioni commerciali non strettamente necessarie all'esecuzione del contratto, consenso dell'interessato (art. 6.1.a GDPR), revocabile in qualsiasi momento.

Conservazione: per tutta la durata del rapporto contrattuale e per i 24 mesi successivi alla cancellazione dell'account, salvo obblighi di legge che impongano periodi più lunghi. Email marketing fino a revoca del consenso.

2.3 Dati del profilo aziendale

Cosa raccogliamo: Partita IVA / VAT number, ragione sociale, codice ATECO, sedi, dimensione aziendale, sito web, servizi offerti, settori di interesse e ogni altra informazione fornita dall'utente o dedotta tramite arricchimento automatico (vedi sez. 3) e utile a profilare le opportunità rilevanti per l'azienda dell'utente.

Sebbene la maggior parte di queste informazioni riguardi soggetti giuridici e non rientri di per sé nella nozione di dato personale, alcune (es. il nominativo del legale rappresentante, l'email aziendale nome.cognome@) possono qualificarsi come dati personali e sono trattate come tali.

Perché: alimentare l'algoritmo di matching tra profilo aziendale e opportunità (bandi, gare, eventi, finanziamenti), erogare la funzionalità core del Servizio.

Base giuridica: esecuzione del contratto (art. 6.1.b GDPR). Per gli arricchimenti AI-based descritti alla sezione 3, anche legittimo interesse del Titolare a migliorare la qualità del matching (art. 6.1.f GDPR), bilanciato dall'assenza di profilazione individuale e dalla possibilità per l'utente di modificare/eliminare in qualsiasi momento qualunque dato precompilato.

Conservazione: per tutta la durata del rapporto contrattuale e per i 24 mesi successivi alla cancellazione dell'account, salvo obblighi di legge.

3. Arricchimento automatico del profilo aziendale tramite AI#

Durante l'onboarding (step 2), Heila precompila un "Profilo di ricerca" combinando (i) i dati pubblici associati alla Partita IVA / VAT number forniti dall'utente, (ii) informazioni reperibili dal sito web aziendale eventualmente indicato, (iii) elaborazione tramite modelli di intelligenza artificiale di terze parti per sintetizzare attività, settore e dimensione.

Non si tratta di un processo decisionale automatizzato ai sensi dell'art. 22 GDPR: l'output è una bozza modificabile dall'utente, che resta libero di accettare, correggere, integrare o eliminare ciascun campo prima di confermare il profilo. Nessuna decisione con effetti giuridici o significativi viene presa automaticamente sulla base di questi dati.

I servizi AI di terze parti utilizzati per questa elaborazione sono indicati nella sezione 5 (Destinatari e sub-processor).

4. Conferimento dei dati: obbligatorio o facoltativo?#

Il conferimento dei dati di account (sez. 2.2) e di Partita IVA / VAT number (sez. 2.3) è necessario per la fruizione del Servizio: il mancato conferimento rende impossibile la creazione dell'account e l'erogazione del Servizio.

Il conferimento del sito web aziendale durante l'onboarding è facoltativo: la sua assenza riduce la qualità della precompilazione del profilo ma non impedisce l'utilizzo del Servizio.

Il conferimento dei dati di marketing (consenso a comunicazioni commerciali) è facoltativo e indipendente dall'attivazione del Servizio.

5. Destinatari dei dati e sub-processor (responsabili esterni)#

Per erogare il Servizio ci avvaliamo di fornitori esterni che trattano dati per conto nostro come responsabili del trattamento ex art. 28 GDPR. In considerazione della fase di validazione del progetto, indichiamo di seguito le categorie di fornitori utilizzati, riservandoci di comunicare l'elenco nominativo aggiornato su richiesta dell'interessato (vedi in calce):

  • Provider di hosting e database in cloud, per lo storage dei dati applicativi e dei log tecnici;
  • Provider di autenticazione, per la gestione delle credenziali e delle sessioni utente;
  • Provider di posta elettronica transazionale, per l'invio delle email di servizio (verifica account, notifiche di opportunità rilevanti, comunicazioni contrattuali);
  • Provider di posta elettronica per finalità di marketing (se attivo e previo consenso dell'interessato), per l'invio di newsletter e aggiornamenti di prodotto;
  • Provider di servizi di lookup su dati societari pubblici, per la verifica della Partita IVA e l'arricchimento dei dati aziendali da fonti ufficiali;
  • Provider di modelli di intelligenza artificiale, per l'elaborazione automatica del Profilo di ricerca (vedi sezione 3);
  • Provider di strumenti analitici di prodotto, per l'analisi aggregata e — ove non aggregata — pseudonimizzata dell'utilizzo del Servizio.

Con ciascun fornitore è in essere, o sarà stipulato prima dell'effettivo utilizzo in produzione, un accordo di trattamento dati (Data Processing Agreement) conforme all'art. 28 GDPR.

L'elenco nominativo aggiornato dei sub-processor è disponibile gratuitamente su richiesta scrivendo a info@heila.me. Comunicheremo eventuali modifiche sostanziali dell'elenco con preavviso ragionevole agli utenti registrati.

6. Trasferimenti di dati al di fuori dell'Unione Europea#

Alcuni dei fornitori indicati nella sezione 5 (in particolare i modelli AI e, potenzialmente, alcuni strumenti di analytics o operativi) hanno sede negli Stati Uniti o in altri Paesi terzi.

In tali casi, il trasferimento avviene esclusivamente verso fornitori che (i) aderiscono al Data Privacy Framework UE-USA, ove applicabile, e/o (ii) garantiscono adeguate misure di protezione tramite Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea ai sensi della Decisione 2021/914/UE, integrate ove necessario da misure tecniche e organizzative supplementari.

L'interessato può richiedere copia delle clausole standard o informazioni sulle misure adottate scrivendo a info@heila.me.

7. Comunicazione di dati a terzi non sub-processor#

Heila non vende e non cede a terzi i dati personali degli utenti per finalità di marketing di terze parti.

I dati potranno essere comunicati a:

  • autorità pubbliche, esclusivamente in adempimento di obblighi di legge o su richiesta legittima;
  • consulenti professionali (legali, fiscali, contabili) vincolati a obbligo di riservatezza, esclusivamente quando necessario alla gestione di adempimenti specifici;
  • eventuali acquirenti, in caso di trasferimento aziendale (cessione di ramo d'azienda, fusione, acquisizione), con preventiva informativa agli interessati.

8. Periodo di conservazione (riepilogo)#

Tipologia di datoDurata
Dati di accountDurata del rapporto + 24 mesi
Dati del profilo aziendaleDurata del rapporto + 24 mesi
Log tecnici di sicurezza12 mesi
Dati analitici aggregati e anonimizzatiNessun limite
Comunicazioni commerciali (lista mailing)Fino a revoca del consenso
Documentazione contabile e fiscale10 anni (obbligo di legge)

Trascorsi i termini indicati, i dati sono cancellati o anonimizzati in modo irreversibile.

9. Diritti dell'interessato#

In ogni momento e gratuitamente, ai sensi degli artt. 15-22 GDPR, l'utente ha diritto di:

  • accesso ai propri dati personali e alle informazioni relative al loro trattamento;
  • rettifica dei dati inesatti o integrazione di quelli incompleti;
  • cancellazione ("diritto all'oblio"), nei casi previsti dalla normativa;
  • limitazione del trattamento, nei casi previsti dall'art. 18 GDPR;
  • portabilità, ossia ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad altro titolare;
  • opposizione al trattamento basato su legittimo interesse o per finalità di marketing diretto;
  • revoca del consenso in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento basato sul consenso prestato prima della revoca;
  • reclamo all'Autorità Garante per la protezione dei dati personali (sito: garanteprivacy.it) o ad altra autorità di controllo competente.

Per esercitare i propri diritti è sufficiente scrivere a info@heila.me. Risponderemo entro 30 giorni, salvo proroghe motivate previste dalla normativa.

10. Modalità di trattamento e sicurezza#

Il trattamento è effettuato con strumenti elettronici, applicando misure tecniche e organizzative adeguate al rischio, tra cui: cifratura in transito (TLS), cifratura at-rest dei database, hashing delle password, controllo degli accessi basato su ruoli, backup regolari, logging delle attività amministrative, processi di gestione degli incidenti.

In caso di violazione di dati personali (data breach) che presenti un rischio per i diritti e le libertà degli interessati, provvederemo alla notifica all'Autorità Garante entro 72 ore e, se il rischio è elevato, all'informativa agli interessati senza ingiustificato ritardo, ai sensi degli artt. 33 e 34 GDPR.

11. Cookie#

L'utilizzo dei cookie e tecnologie analoghe è disciplinato dalla nostra Cookie Policy, disponibile all'indirizzo https://heila.me/cookie-policy e gestita tramite banner di consenso visibile al primo accesso al sito.

12. Minori#

Il Servizio è rivolto esclusivamente a soggetti maggiorenni che agiscono nell'ambito della propria attività professionale o imprenditoriale (B2B). Non raccogliamo consapevolmente dati relativi a minori. Qualora venissimo a conoscenza di aver raccolto dati di un minore senza valido consenso, provvederemo alla loro cancellazione immediata.

13. Modifiche alla presente informativa#

Ci riserviamo il diritto di modificare la presente informativa in qualsiasi momento per riflettere cambiamenti normativi, evoluzioni del Servizio o nuovi fornitori. La versione aggiornata sarà pubblicata su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali, gli utenti registrati saranno informati via email all'indirizzo associato all'account.

Hai domande sulla privacy?

Scrivici a info@heila.me. Rispondiamo entro 30 giorni come previsto dal GDPR.