Privacy Policy

Ultimo aggiornamento: 23 giugno 2026

Gentile Utente,
ai sensi degli artt. 13 e 14 del Reg. UE 679/2016 (“GDPR”), Ti forniamo di seguito le informazioni relative al trattamento dei dati personali che potranno essere da Te conferiti a “Opalca S.r.l.” con riferimento all’accesso al sito web opalca.com, alle sue funzionalità ed ai Tuoi diritti in relazione ai predetti dati e trattamenti.

1. Chi siamo

Il titolare del trattamento dei dati personali è Opalca S.r.l., con sede legale in Via Bianca di Savoia 17, 20122 Milano (MI), Italia, P.IVA 13861370966. Per qualsiasi questione relativa alla privacy scrivere a privacy@opalca.com.

2. Dati raccolti

Nel corso dell’accesso e della navigazione sul sito, potremmo raccogliere i Tuoi dati personali che seguono:

  • Dati di registrazione: nome, cognome, e-mail, azienda
  • Dati di fatturazione: ragione sociale, indirizzo, Paese, P.IVA/Codice fiscale (gestiti tramite Shopify Payments)
  • Dati di utilizzo: log di accesso, funzionalità utilizzate, preferenze
  • Dati tecnici: indirizzo IP, tipo di browser, sistema operativo
  • Token OAuth delle fonti dati collegate (es. Shopify, Amazon, Google Ads), conservati in forma cifrata

3. Finalità del trattamento

I dati personali vengono trattati per le seguenti finalità:

  • Fornitura e gestione del servizio (base: esecuzione del contratto)
  • Autenticazione e gestione dell’account (base: esecuzione del contratto)
  • Fatturazione e adempimenti fiscali (base: obbligo legale)
  • Comunicazioni di servizio e supporto tecnico (base: esecuzione del contratto / legittimo interesse)
  • Miglioramento della piattaforma e analisi aggregate di utilizzo (base: legittimo interesse)
  • Marketing e newsletter, solo con consenso esplicito (base: consenso, revocabile in qualsiasi momento)

4. Responsabili del trattamento

Per erogare il servizio ci avvaliamo di fornitori esterni selezionati. I principali sono:

  • Auth0 (Okta, Inc.) — autenticazione e gestione identità, server in regione EU
  • Shopify International Ltd. — pagamenti e gestione abbonamenti tramite Shopify Payments e Appstle; Opalca non memorizza dati di carte di credito
  • Google Cloud Platform (Google LLC) — hosting e infrastruttura, server nella regione europe-west (UE)
  • Shopify, Google (Ads/Analytics), Amazon — fonti dati collegate su scelta dell’utente

I dati dei clienti elaborati tramite la piattaforma (es. dati di vendita e-commerce) sono trattati esclusivamente per la fornitura del servizio e non vengono utilizzati per scopi propri di Opalca, né ceduti a terzi per finalità commerciali.

5. Trasferimento dei dati fuori dall’UE

Alcuni responsabili (es. Auth0/Okta, Shopify, Google) hanno sede negli Stati Uniti. I trasferimenti avvengono nel rispetto delle garanzie previste dal GDPR, in particolare tramite Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.

6. Conservazione dei dati

Conserviamo i dati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

  • Dati dell’account: per tutta la durata del rapporto contrattuale e fino a 12 mesi dalla cancellazione
  • Dati di fatturazione e contabili: 10 anni, come previsto dalla normativa fiscale italiana
  • Log applicativi e di sicurezza: 90 giorni
  • Dati di marketing: fino alla revoca del consenso

7. Approccio alla protezione dei dati

Opalca adotta un approccio proattivo alla protezione dei dati, fondato su tre principi:

  • Privacy by Design: la protezione dei dati è integrata nella progettazione di ogni funzionalità, non aggiunta a posteriori
  • Minimizzazione dei dati: raccogliamo solo ciò che è strettamente necessario per erogare il servizio
  • Trasparenza: informiamo chiaramente su quali dati vengono raccolti, come vengono utilizzati e con chi vengono condivisi

8. Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati da accesso non autorizzato, perdita o divulgazione:

  • Crittografia in transito tramite TLS 1.2+ per tutte le comunicazioni
  • Crittografia a riposo (AES-256) per i dati memorizzati, inclusi i token OAuth
  • Accesso ai sistemi basato sul principio del privilegio minimo (least privilege)
  • Autenticazione a più fattori (MFA) per gli accessi ai sistemi interni
  • Backup automatici, log di audit e monitoraggio continuo dell’infrastruttura
  • Separazione logica dei dati tra i diversi clienti (multi-tenancy sicura)

Certificazioni dei nostri fornitori

Opalca non detiene certificazioni proprie (es. ISO 27001, SOC 2) al momento della pubblicazione. Ci affidiamo a fornitori che adottano i più elevati standard internazionali:

  • ISO/IEC 27001 e SOC 2 Type II: certificazioni detenute dai nostri principali fornitori di infrastruttura (Google Cloud, Auth0)
  • PCI DSS: i pagamenti sono gestiti tramite Shopify Payments, che si avvale di infrastruttura certificata PCI-DSS; Opalca non memorizza dati di carte di credito

9. Diritti dell’interessato

In quanto interessato, hai diritto di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità e opposizione. Hai inoltre il diritto di revocare il consenso in qualsiasi momento, senza effetto retroattivo.

Per esercitare i tuoi diritti scrivi a privacy@opalca.com. Hai il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

10. Cookie

Il sito utilizza cookie tecnici necessari al funzionamento e cookie analitici per migliorare l’esperienza utente. Per maggiori dettagli consulta la nostra Cookie Policy.

11. Modifiche alla Privacy Policy

Ci riserviamo di aggiornare questa Privacy Policy. In caso di modifiche sostanziali ne daremo comunicazione via e-mail agli utenti registrati con almeno 15 giorni di anticipo rispetto all’entrata in vigore.

12. Contatti

Opalca S.r.l. — Via Bianca di Savoia 17, 20122 Milano (MI), Italia

E-mail: privacy@opalca.com — Sito: www.opalca.com