Mailia Workspace
AccediInizia gratis

— legale —

Privacy policy.

Come trattiamo i tuoi dati e quelli dei tuoi iscritti, in italiano semplice e in conformità al GDPR.

Ultimo aggiornamento · 15 maggio 2026

1. Titolare del trattamento

Quattuordecim S.p.A. Società Benefit — Via Montenapoleone 8, 20121 Milano (MI), P.IVA 14314550964. Email per richieste GDPR: [email protected].

Referente Privacy interno: Giuseppe Tamburro, in qualità di rappresentante di Quattuordecim S.p.A. Società Benefit — [email protected].

Alla data di pubblicazione della presente informativa, Quattuordecim S.p.A. Società Benefit non ha designato un Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR. È in corso la procedura di nomina di un DPO esterno, prevista entro il terzo trimestre 2026. Nelle more, il punto di contatto interno per gli interessati e per le richieste di esercizio dei diritti di cui agli artt. 15-22 GDPR è il Referente Privacy interno indicato sopra.

2. Dati che raccogliamo

  • Account: nome, email, password (cifrata con bcrypt), telefono opzionale.
  • Fatturazione: ragione sociale, P.IVA, codice fiscale, indirizzo, codice SDI o PEC.
  • Contenuti applicativi: email, file caricati su Drive, liste contatti Marketing, link Shorter, eventi Calendar — sotto il tuo esclusivo controllo.
  • Utilizzo: log di accesso, indirizzo IP, user agent, eventi nella dashboard.
  • Pagamenti: token e ultime 4 cifre della carta gestiti da Stripe (i numeri di carta non sono mai memorizzati sui nostri server).
  • Tracciamento email Marketing: pixel di apertura, redirect dei click, IP e user agent del destinatario.
  • Cookie tecnici: JWT di sessione. Nessun cookie di profilazione di terze parti.

3. Finalità e basi giuridiche

  • Erogazione dei servizi Mailia — art. 6.1.b GDPR (esecuzione del contratto).
  • Adempimenti fiscali e contabili — art. 6.1.c GDPR (obbligo legale).
  • Sicurezza, antifrode, log applicativi — art. 6.1.f GDPR (legittimo interesse).
  • Comunicazioni commerciali su prodotti analoghi — art. 6.1.f GDPR (legittimo interesse, sempre con opt-out).
  • Newsletter e marketing diretto — art. 6.1.a GDPR (consenso esplicito, sempre revocabile).

4. Tracciamento delle email Marketing

Per il servizio Mailia Marketing tracciamo aperture (pixel 1×1) e click (redirect) sulle email che invii ai tuoi iscritti. Per questi dati Mailia agisce come Responsabile del trattamento per conto tuo: tu sei il titolare, noi eseguiamo le tue istruzioni nei limiti del DPA.

5. Sub-responsabili (Sub-processor)

Per l'erogazione dei servizi Mailia ci avvaliamo dei seguenti sub-responsabili del trattamento ai sensi dell'art. 28 GDPR:

  • Hetzner Online GmbH (Germania) — hosting, storage, backup primari.
  • Cloudflare, Inc. (USA, edge UE) — reverse proxy, WAF, mitigazione DDoS.
  • Stripe Payments Europe Ltd (Irlanda) e Stripe, Inc. (USA) — pagamenti.
  • Resend, Inc. (USA) — invio di email transazionali (notifiche account, reset password, ricevute).

L'elenco completo e aggiornato, con sede legale, ruolo, dati trattati, base legale del trasferimento e link al DPA di ciascun fornitore, è disponibile alla pagina /sub-processor.

Postal e MariaDB sono software open source eseguiti direttamente sull'infrastruttura Hetzner sotto controllo esclusivo di Quattuordecim, e non costituiscono sub-responsabili autonomi.

Mailia comunicherà preventivamente via email ogni variazione all'elenco con almeno 30 giorni di preavviso.

6. Trasferimenti extra-SEE

I dati applicativi (email, file, contatti, contenuti utente) sono ospitati esclusivamente all'interno dello Spazio Economico Europeo, presso i datacenter di Hetzner in Germania.

Alcuni sub-responsabili hanno sede negli Stati Uniti (Cloudflare, Stripe Inc., Resend). Per tali soggetti il trasferimento dei dati personali avviene sulla base delle Standard Contractual Clauses (SCCs) approvate con Decisione di Esecuzione (UE) 2021/914 della Commissione, ai sensi dell'art. 46 GDPR. I dati trasferiti sono limitati a metadati di richiesta HTTP per Cloudflare, dati di fatturazione e token di pagamento per Stripe, indirizzo email del destinatario e contenuto delle sole email transazionali per Resend.

Nessun contenuto utente (email applicative, file Drive, contatti Marketing, eventi Calendar) lascia l'infrastruttura UE.

7. Quanto conserviamo i dati

  • Account attivo: per tutta la durata del contratto.
  • Account cancellato: 30 giorni di soft-delete, poi cancellazione.
  • Campagne Marketing: fino alla cancellazione o 3 anni dall'ultima attività.
  • Log applicativi: 90 giorni.
  • Log di sicurezza: 12 mesi.
  • Dati di fatturazione: 10 anni (normativa fiscale).
  • Registro dei consensi: durata del rapporto + 5 anni.

8. Misure di sicurezza

  • Password: hash con algoritmo bcrypt.
  • Crittografia in transito: TLS 1.3 obbligatorio su tutti gli endpoint pubblici.
  • Crittografia at-rest: AES-256 server-side (SSE-S3) sui bucket di Object Storage Hetzner. Le chiavi sono gestite dal provider in regime SSE-S3 standard. La cifratura client-side end-to-end con chiavi utente è in roadmap e non disponibile alla data odierna.
  • Mail server self-hosted: Postal viene eseguito direttamente sui nostri server Hetzner. Il contenuto delle comunicazioni non transita né viene memorizzato presso provider SMTP terzi (es. Mailgun, SendGrid, Amazon SES, Postmark).
  • Backup: snapshot giornalieri di database e volumi applicativi. Il backup off-site è attualmente conservato presso un'infrastruttura controllata da Quattuordecim S.p.A. SB sul territorio italiano. È in corso la migrazione del backup off-site verso un secondo datacenter Hetzner in Finlandia (Helsinki) per ottenere ridondanza geografica all'interno dell'UE.
  • Controllo accessi: autenticazione a due fattori opzionale, ruoli granulari, log di audit applicativo, accesso amministrativo tracciato.

Ogni incidente di sicurezza che comporti violazione dei dati personali è notificato al Garante per la protezione dei dati personali entro 72 ore ai sensi dell'art. 33 GDPR.

9. I tuoi diritti

Articoli 15-22 del GDPR: accesso, rettifica, cancellazione, portabilità (export in formato strutturato), opposizione, limitazione del trattamento e revoca del consenso. Puoi esercitarli da Impostazioni → Privacy oppure scrivendo a [email protected]. Mailia risponde entro 30 giorni. In caso di contestazione puoi rivolgerti al Garante per la protezione dei dati personali — www.garanteprivacy.it.

10. Modifiche all'informativa

La presente informativa può essere aggiornata. Le modifiche sostanziali saranno comunicate via email a tutti gli utenti almeno 30 giorni prima dell'entrata in vigore.