GDPR Compliant · EU

Trust & Security

Sicurezza & GDPR

La protezione dei dati HACCP dei tuoi clienti è il nostro primo impegno. Questa pagina riassume le misure tecniche, organizzative e contrattuali adottate da Sa.Gi Group per conformarsi al Regolamento UE 679/2016 (GDPR).

Misure tecniche

  • Cifratura in transito: TLS 1.3 su tutti gli endpoint (Cloudflare WAF + HSTS preload).
  • Cifratura a riposo: MongoDB Atlas EU-Frankfurt con AES-256 server-side encryption.
  • Password: hashing bcrypt cost 12, salt random per account. Nessuna password salvata in chiaro.
  • Sessioni: JWT con scadenza 15min + refresh token httpOnly · cookie SameSite=Lax.
  • Isolamento multi-tenant: ogni query filtrata per org_id a livello applicativo e index DB.
  • Backup: snapshot giornalieri cifrati MongoDB Atlas, retention 7 giorni continui + 30 giorni point-in-time.
  • Logging: log applicativi conservati 6 mesi su filesystem cifrato. Nessun log di password o token.

Misure organizzative

  • Titolare unico: Sara Galati (Titolare del trattamento). Nessun dipendente accede ai dati clienti.
  • Accesso fisico: sviluppo da workstation con disk encryption + screen lock + MFA su Google/MongoDB Atlas.
  • Principio del minimo privilegio: chiavi API e credentials accessibili solo al Titolare.
  • Sub-processor: ogni fornitore terzo selezionato con DPA firmata o adesione SCC (vedi elenco).
  • Data breach: notifica al Garante Privacy entro 72h come da Art. 33 GDPR.

Conservazione dati (data retention)

  • Registri HACCP (temperature, pulizie, ricevimenti, NC, allergeni): 5 anni dalla data di registrazione, allineato all'obbligo di tracciabilità del Reg. CE 852/2004 art. 5 e Reg. CE 178/2002 art. 18.
  • Dati account demo non convertiti: 12 mesi dalla scadenza, poi cancellati.
  • Dati account clienti paganti: durata del contratto + 5 anni post-cessazione per obblighi HACCP.
  • Log di navigazione: 6 mesi.
  • Cookie marketing (Meta Pixel): massimo 13 mesi (limite Meta).

Trasferimenti dati extra-UE

Il database e l'application server risiedono in EU (Frankfurt). Alcuni servizi ausiliari operano negli Stati Uniti con tutela tramite Standard Contractual Clausesdella Commissione Europea (decisione 2021/914):

  • Anthropic (Claude) — AI Consulente HACCP
  • Google (Gemini) — OCR etichette/temperature
  • Meta Platforms — Pixel marketing (solo con consenso)

Vedi lista completa sub-processor per dettagli.

Cookie e tracking

Utilizziamo cookie tecnici di sessione (login, preferenze) che non richiedono consenso. Solo i cookie Meta Pixel (marketing) richiedono opt-in esplicito tramite il banner cookie. Maggiori dettagli nella Privacy Policy.

Diritti dell'interessato

In qualunque momento puoi esercitare i diritti previsti dagli Artt. 15-22 GDPR:

  • Accesso ai tuoi dati
  • Rettifica e aggiornamento
  • Cancellazione ("oblio") — Art. 17
  • Portabilità — Art. 20 (export JSON/CSV)
  • Limitazione e opposizione al trattamento
  • Reclamo al Garante Privacy (garanteprivacy.it)

Scrivi a sara.galati@sagigrp.com con oggetto "Diritti GDPR".

Titolare del trattamento

Sara Galati (Libera professionista, brand Sa.Gi Group)
Via La Marmora 4C, 20037 Paderno Dugnano (MI), Italia
C.F. GLTSRA84A41C616X · P.IVA 05757730287
Email: sara.galati@sagigrp.com · Tel. +39 344 7205 371

Usiamo cookie tecnici e (con consenso) Meta Pixel. Privacy