Privacy Policy

Informativa sulla Privacy

Ultimo aggiornamento: 16 Aprile 2026 — Versione 2.1

La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (di seguito "GDPR") e descrive le modalità di trattamento dei dati personali degli utenti che consultano il sito web quicommercialista.it (di seguito "Sito") e dei professionisti i cui dati sono pubblicati nella directory.

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

• Ragione sociale: G Tech Group S.R.L.S.
• P.IVA: 02743570224
• REA: TN – 246638
• Capitale Sociale: € 1.500,00
• SDI: SZLUBAI
• PEC: gtechgroupsrl@postacert.eu
• Email privacy: privacy@quicommercialista.it
• Sito web: www.gtechgroup.it

2. Tipologie di dati raccolti

2.1 Dati professionali da registri pubblici

I dati relativi ai Dottori Commercialisti e agli Esperti Contabili sono ricavati dagli albi professionali pubblici tenuti dagli Ordini Provinciali (ODCEC), consultabili ai sensi dell'art. 34 del D.Lgs. 139/2005. Questi dati includono: nome e cognome, indirizzo dello studio, numero di telefono, email professionale, PEC, numero di iscrizione all'albo e sezione, ordine provinciale.

2.2 Dati di registrazione utente

Gli utenti che si registrano forniscono: nome e cognome, indirizzo email, password (conservata in forma crittografata mediante bcrypt).

2.3 Dati del modulo di contatto

Gli utenti che utilizzano il modulo di contatto forniscono: nome e cognome, indirizzo email, numero di telefono (facoltativo), testo del messaggio.

2.4 Dati delle recensioni

Gli utenti che lasciano una recensione forniscono: nome visualizzato, indirizzo email, valutazione numerica, testo della recensione.

2.5 Documenti per la procedura di claim

I professionisti che rivendicano il proprio profilo forniscono: documento di identità in corso di validità, eventuali documenti comprovanti l'iscrizione all'albo. I documenti sono conservati in archiviazione privata non accessibile pubblicamente e vengono eliminati dopo il completamento della verifica.

2.6 Dati di navigazione

I sistemi informatici acquisiscono automaticamente: indirizzo IP, tipo di browser e sistema operativo, pagine visitate e tempi di permanenza, data e ora, URL di provenienza (referrer).

2.7 Preferenze sui cookie

Il Sito registra le preferenze espresse dall'utente in merito ai cookie tramite il banner di consenso e l'apposito cookie cookie_consent.

2.8 Dati della newsletter

Gli utenti che si iscrivono alla newsletter forniscono volontariamente il proprio indirizzo email. Viene inoltre registrata la fonte dell'iscrizione (footer, blog, pagina città) e la data di conferma. L'iscrizione è facoltativa e può essere revocata in qualsiasi momento tramite il link di disiscrizione presente in ogni comunicazione o contattando privacy@quicommercialista.it.

2.9 Dati degli strumenti online (calcolatori)

Il Sito offre 31 strumenti di calcolo gratuiti (calcolatori fiscali, business plan, gestione magazzino, ecc.). Tutti i calcoli avvengono esclusivamente nel browser dell'utente tramite JavaScript: nessun dato inserito negli strumenti viene inviato ai nostri server né è accessibile al Titolare.

Lo strumento "Gestione Magazzino" utilizza il localStorage del browser per salvare i dati inseriti (articoli e movimenti) sul dispositivo dell'utente. Questi dati rimangono esclusivamente sul dispositivo dell'utente e non vengono mai trasmessi ai nostri server. L'utente può cancellarli in qualsiasi momento tramite le impostazioni del browser o il pulsante "Reset" presente nello strumento.

Alcuni strumenti offrono la possibilità di scaricare i risultati in formato Excel (.xlsx). La generazione del file avviene interamente nel browser tramite la libreria SheetJS (caricata da cdn.sheetjs.com): nessun dato viene inviato a server esterni.

2.10 Foto e contenuti caricati dai professionisti

I professionisti che reclamano il proprio profilo possono caricare: foto profilo, foto galleria dello studio, descrizione professionale, servizi offerti, orari di ricevimento, link social. Questi contenuti sono conservati su server nell'UE e sono pubblicamente visibili sul profilo.

2.11 Dati di pagamento (Stripe)

Per l'acquisto dei piani Premium (Silver/Gold) e di eventuali servizi a pagamento, il Sito utilizza Stripe Inc. come sub-processor per l'elaborazione dei pagamenti con carta. Durante la procedura di checkout, i dati della carta (PAN, CVC, data di scadenza, nome titolare) vengono inseriti direttamente sulla piattaforma Stripe e trasmessi in forma cifrata ai suoi server, certificati secondo lo standard PCI-DSS.

Il Titolare non conserva, non visualizza e non ha mai accesso ai dati della carta di pagamento. Sui nostri server vengono salvati esclusivamente i seguenti identificativi di riferimento restituiti da Stripe al termine della transazione:

• stripe_session_id — ID della sessione di checkout
• stripe_payment_intent_id — ID dell'intento di pagamento
• paid_at — data e ora del pagamento andato a buon fine
• importo, valuta, piano acquistato e stato della transazione

Base giuridica: esecuzione del contratto (art. 6.1.b GDPR) per l'erogazione del servizio acquistato e adempimento degli obblighi fiscali e contabili connessi. La Privacy Policy di Stripe è consultabile all'indirizzo stripe.com/it/privacy.

2.12 Tracking newsletter (aperture e clic)

Le email della newsletter e dei funnel automatici includono strumenti di tracciamento finalizzati a misurare il coinvolgimento degli iscritti e migliorare la qualità delle comunicazioni:

• Tracking aperture: pixel trasparente 1x1 incorporato nell'HTML dell'email che, al caricamento, segnala l'apertura del messaggio
• Tracking clic: i link nelle email passano attraverso un redirect sul nostro server che registra il clic prima di reindirizzare alla destinazione finale
• Tag e segmentazione: ai subscriber vengono applicati automaticamente tag (es. profilo_incompleto, premium_silver, newsletter_attiva) in base alle loro azioni, per inviare comunicazioni mirate e pertinenti
• Pseudonimizzazione: il tracciamento è basato su un tracking_token univoco per iscritto (pseudonimizzato), non sull'indirizzo email in chiaro

I dati conservati includono: tag applicati, storico modifiche dei tag (tags_log), contatori totali di aperture e clic, data dell'ultima apertura/clic. L'iscritto può opporsi al tracciamento in qualsiasi momento disiscrivendosi tramite il link presente in ogni email.

3. Finalità e base giuridica del trattamento

Dati	Finalità	Base giuridica
Dati professionali da albi pubblici	Pubblicazione nella directory per consentire agli utenti di trovare un commercialista	Legittimo interesse (art. 6.1.f GDPR). Dati da albi pubblici ex art. 34 D.Lgs. 139/2005
Dati di registrazione	Creazione e gestione account; accesso funzionalità riservate	Esecuzione contratto (art. 6.1.b GDPR)
Modulo di contatto	Riscontro richieste; messa in contatto con il professionista	Legittimo interesse (art. 6.1.f GDPR)
Recensioni	Pubblicazione sul profilo per trasparenza del servizio	Consenso esplicito (art. 6.1.a GDPR)
Documenti claim	Verifica identità professionista	Esecuzione contratto (art. 6.1.b GDPR)
Dati di navigazione	Funzionamento tecnico; sicurezza; statistiche aggregate	Legittimo interesse (art. 6.1.f GDPR)
Preferenze cookie	Memorizzazione scelte; dimostrazione consenso	Obbligo di legge (art. 7 GDPR, Provv. Garante 229/2014)
Newsletter	Invio aggiornamenti fiscali, novità del sito, articoli del blog, funnel automatici (welcome, reminder, riattivazione)	Consenso esplicito (art. 6.1.a GDPR). Revocabile in ogni momento
Foto e contenuti professionisti	Arricchimento profilo pubblico su richiesta del professionista	Esecuzione contratto (art. 6.1.b GDPR)
Dati di pagamento	Elaborazione pagamenti Premium tramite Stripe sub-processor; fatturazione	Esecuzione contratto (art. 6.1.b GDPR)
Tracking newsletter	Misurazione coinvolgimento iscritti (aperture/clic); segmentazione tramite tag	Consenso esplicito (art. 6.1.a GDPR) — ricompreso nell'iscrizione alla newsletter
reCAPTCHA v3	Prevenzione spam e abusi sui form pubblici	Legittimo interesse (art. 6.1.f GDPR) — sicurezza del servizio

4. Modalità di trattamento

I dati personali sono trattati con strumenti automatizzati e sono adottate misure di sicurezza specifiche:

• Password utenti conservate con hashing bcrypt
• Comunicazioni protette tramite HTTPS/TLS
• Documenti di identità in storage privato con accesso limitato
• Indirizzi IP nei registri di consenso conservati in forma pseudonimizzata (hash SHA-256)
• Accesso ai dati limitato al personale autorizzato
• Backup periodici automatizzati
• Strumenti online: tutti i calcoli avvengono client-side, nessun dato utente transita sui nostri server
• Dati di pagamento gestiti esclusivamente da Stripe (PCI-DSS certificato); il Titolare non conserva dati carta
• Tracking newsletter pseudonimizzato tramite tracking_token univoco (non email in chiaro)

5. Periodo di conservazione dei dati

• Dati professionali: per tutta la durata della pubblicazione. Cancellazione entro 30 giorni dalla richiesta di rimozione
• Dati registrazione: per la durata dell'account. Eliminazione entro 30 giorni dalla cancellazione
• Modulo di contatto: massimo 12 mesi dall'invio
• Recensioni: per la durata della pubblicazione. Rimozione su richiesta
• Documenti claim: eliminati entro 90 giorni dal completamento della verifica
• Dati di navigazione: massimo 24 mesi
• Preferenze cookie: 12 mesi dalla raccolta
• Newsletter: fino alla disiscrizione. Dopo la disiscrizione, l'email viene conservata in stato inattivo per 6 mesi (per evitare re-iscrizioni involontarie), poi eliminata
• Tag e tracking newsletter: conservati fino alla disiscrizione; contatori aperture/clic per 24 mesi ai fini statistici
• Dati di pagamento (ID riferimento Stripe): conservati per 10 anni ai sensi dell'art. 2220 c.c. per obblighi fiscali e contabili
• Registri di consenso: conservati per 5 anni ai sensi dell'art. 7.1 GDPR come prova del consenso raccolto

6. Destinatari dei dati

• Personale autorizzato del Titolare
• Fornitori hosting e infrastruttura: Responsabili del trattamento ex art. 28 GDPR (server ubicati nell'UE)
• Fornitori servizi email transazionali: server SMTP Plesk per email di sistema (registrazione, conferma account, reset password, notifiche)
• SMTP dedicato newsletter (G Tech Group): server shcl-3ed2e.serverlet.com utilizzato esclusivamente per l'invio di newsletter e funnel di marketing automation. Infrastruttura gestita dal Titolare (G Tech Group S.R.L.S.)
• Stripe Inc.: sub-processor per l'elaborazione dei pagamenti con carta (PCI-DSS). Privacy Policy: stripe.com/it/privacy
• Google LLC (reCAPTCHA v3): servizio anti-spam attivo sui form pubblici. Privacy Policy: policies.google.com/privacy
• Google Analytics / Google Ads / Meta Pixel: previo consenso, per analisi traffico e campagne pubblicitarie
• SheetJS (CDN): libreria JavaScript caricata da cdn.sheetjs.com per la generazione di file Excel. Non raccoglie dati personali; il caricamento del file JavaScript è un'operazione tecnica analoga al caricamento di qualsiasi risorsa web
• Autorità giudiziarie o amministrative: nei casi previsti dalla legge

I dati personali non vengono venduti a terzi né utilizzati per profilazione commerciale non autorizzata.

7. Trasferimento extra-UE

I dati sono conservati primariamente su server nell'UE. Alcuni sub-processor hanno sede negli Stati Uniti; in questi casi il trasferimento avviene con garanzie adeguate ai sensi degli artt. 45-46 GDPR:

• Stripe Inc. (USA): aderente al Data Privacy Framework (DPF) UE-USA e firmataria delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
• Google LLC (USA) — reCAPTCHA v3, Analytics, Ads: aderente al Data Privacy Framework (DPF) UE-USA e firmataria delle Clausole Contrattuali Standard (SCC)
• Meta Platforms Inc. (USA) — Meta Pixel, se attivo: aderente al Data Privacy Framework (DPF) UE-USA e firmataria delle SCC

Ogni trasferimento rispetta le decisioni di adeguatezza della Commissione Europea (art. 45 GDPR) o, in assenza, le Clausole Contrattuali Standard (art. 46 GDPR). L'utente può richiedere copia delle garanzie adottate scrivendo a privacy@quicommercialista.it.

8. Diritti dell'interessato

Ai sensi degli artt. 15-22 del GDPR, hai il diritto di:

• Accesso (art. 15): ottenere copia dei tuoi dati. Puoi farlo autonomamente dalla pagina Preferenze Privacy con export in formato JSON
• Rettifica (art. 16): correggere dati inesatti o integrarli
• Cancellazione (art. 17): richiedere la cancellazione dei dati (diritto all'oblio). Disponibile dalla pagina Preferenze Privacy
• Limitazione (art. 18): ottenere la limitazione del trattamento
• Portabilità (art. 20): ricevere i dati in formato strutturato (JSON) e trasmetterli a un altro titolare
• Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse. I professionisti possono richiedere la rimozione tramite il link sul profilo o scrivendo a privacy@quicommercialista.it
• Revoca consenso (art. 7): revocare il consenso in qualsiasi momento (cookie, newsletter, recensioni)

Richieste a: privacy@quicommercialista.it. Risposta entro 30 giorni.

9. Portale self-service per la privacy

Il Sito mette a disposizione un portale self-service all'indirizzo /preferenze-privacy dove puoi:

• Visualizzare tutti i consensi attivi e storici
• Revocare singoli consensi
• Esportare tutti i tuoi dati in formato JSON (portabilità)
• Richiedere la cancellazione completa del tuo account e dei dati associati

L'accesso è disponibile tramite account registrato o tramite magic link inviato al tuo indirizzo email.

10. Diritto di reclamo al Garante

Puoi proporre reclamo al Garante per la Protezione dei Dati Personali:

• Sito: www.garanteprivacy.it
• Email: garante@gpdp.it — PEC: protocollo@pec.gpdp.it
• Tel: (+39) 06 69677 1
• Indirizzo: Piazza Venezia, 11 - 00187 Roma

11. Cookie

Il Sito utilizza cookie tecnici e, previo consenso, cookie analitici e di marketing. Per informazioni dettagliate consulta la Cookie Policy.

11-bis. Comunicazioni di marketing (newsletter + funnel automatici)

Gli iscritti alla newsletter ricevono, oltre alle comunicazioni editoriali, email di onboarding automatizzate (funnel) attivate in base alle azioni dell'utente o allo stato del suo account:

• Welcome series: sequenza di benvenuto dopo la conferma dell'iscrizione
• Reminder profilo: solleciti per professionisti con profilo incompleto
• Post-upgrade: email di supporto dopo l'acquisto di un piano Premium
• Riattivazione: campagne per iscritti inattivi da oltre 90 giorni

Opt-in esplicito: l'invio di queste comunicazioni è subordinato al consenso esplicito prestato al momento dell'iscrizione (checkbox non pre-selezionata al claim, al footer del sito o ai form dedicati). L'utente può disiscriversi in ogni momento cliccando sul link di unsubscribe presente in calce a ogni email.

Segmentazione tramite tag: agli iscritti vengono applicati automaticamente tag (es. profilo_incompleto, premium_silver, newsletter_attiva) basati sulle loro azioni o sul loro status, al fine di inviare contenuti pertinenti. L'attribuzione dei tag è un trattamento minimo e necessario per personalizzare il servizio di newsletter.

Infrastruttura SMTP: l'invio avviene tramite server SMTP dedicato shcl-3ed2e.serverlet.com gestito da G Tech Group S.R.L.S. (stesso titolare del trattamento), distinto dal server delle email transazionali di sistema.

11-ter. Protezione anti-spam (reCAPTCHA v3)

Il Sito utilizza Google reCAPTCHA v3, un servizio fornito da Google LLC (sede: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) per proteggere i form pubblici da spam, bot e abusi automatizzati. reCAPTCHA v3 è attivo su tutti i form pubblici:

• Iscrizione alla newsletter
• Richiesta di claim del profilo professionale
• Modulo di contatto
• Invio recensioni
• Prenotazione appuntamenti
• Login e registrazione utenti

Funzionamento invisibile: a differenza delle versioni precedenti, reCAPTCHA v3 non richiede alcuna interazione dell'utente (niente checkbox "Non sono un robot", niente selezione di immagini): il sistema analizza il comportamento dell'utente in background e restituisce un punteggio di rischio.

Dati trasmessi a Google: indirizzo IP, user agent, timestamp, action (tipo di form), cookie di Google eventualmente presenti, informazioni sull'interazione con la pagina (movimenti mouse, tempi, ecc.).

Finalità: esclusivamente prevenzione di spam, frodi e abusi automatizzati. I dati non sono utilizzati per altri scopi dal Titolare.

Base giuridica: legittimo interesse (art. 6.1.f GDPR) alla sicurezza del servizio e alla protezione dell'infrastruttura da attacchi automatizzati, bilanciato con gli interessi degli utenti.

Trasferimento extra-UE: Google LLC è aderente al Data Privacy Framework (DPF) UE-USA e firmataria delle Clausole Contrattuali Standard (SCC).

Privacy Policy di Google: policies.google.com/privacy — Termini del servizio reCAPTCHA: policies.google.com/terms.

12. Modifiche

Il Titolare si riserva di modificare questa informativa. Le modifiche saranno pubblicate su questa pagina. In caso di modifiche sostanziali, gli utenti registrati saranno avvisati via email.

Changelog

• v2.1 (16/04/2026): Aggiunta sezione pagamenti Stripe, newsletter automation con funnel e tracking, reCAPTCHA v3 anti-spam, SMTP dedicato per marketing. Aggiornati destinatari e trasferimenti extra-UE.
• v2.0 (13/04/2026): Aggiunte sezioni newsletter, strumenti online/localStorage, foto professionisti, portale self-service, SheetJS CDN, pseudonimizzazione IP.
• v1.0 (02/04/2026): Prima pubblicazione.

13. Contatti

• Email: privacy@quicommercialista.it
• Sito: quicommercialista.it