← Torna alla home

Privacy Policy

Ultimo aggiornamento: 30 maggio 2026

1. Titolare del trattamento

CRISTIAN TARABORRELLI STUDIO SRL — P.IVA 17597231004
Email di contatto: privacy@emailho.me

2. Dati raccolti

Raccogliamo i seguenti dati:

  • Dati di autenticazione: indirizzo email e, in caso di accesso tramite Google, nome e immagine profilo forniti dal provider OAuth.
  • Contenuti email: le email inviate in CC agli indirizzi @emailho.me vengono ricevute e archiviate per renderle visibili ai membri della stanza.
  • Dati tecnici: indirizzo IP, tipo di browser e log di accesso per finalità di sicurezza e diagnostica.

3. Finalità del trattamento

  • Erogazione del servizio (ricezione e visualizzazione email nella stanza).
  • Autenticazione e gestione dell'account utente.
  • Sicurezza, prevenzione abusi e diagnostica tecnica.
  • Aggiunta automatica alle stanze: quando il tuo indirizzo email compare nei campi To o CC di un'email ricevuta da una stanza, potresti essere aggiunto automaticamente come membro di quella stanza per consentirti di visualizzare la conversazione.

4. Base giuridica

Il trattamento è basato sul contratto di servizio (art. 6.1.b GDPR) e sul legittimo interesse per la sicurezza del servizio (art. 6.1.f GDPR).

Tempi di conservazione (retention)

  • Email ricevute: conservate per tutta la durata dell'account. Cifrate AES-256 nel database. Trasporto TLS 1.3 verificato indipendentemente SSL Labs Qualys grade A+ (max possibile).
  • Allegati: piano Free → 7 giorni dalla ricezione, poi cancellati. Pro/Impresa → durata account.
  • Account: alla cancellazione (da /privacy/request o pannello account), dati personali eliminati entro 30 giorni. Backup cifrati ruotano in 90 giorni.
  • Audit log (operazioni sensibili): 12 mesi, poi anonimizzati o eliminati.
  • Log Sentry/Vercel: 30 giorni rolling. Nessun corpo email, solo stack trace e metadata tecnico.
  • Log accessi link condivisi (Roadmap): quando condividi una Roadmap tramite link pubblico, registriamo gli accessi al link per darti — come admin della stanza — un prospetto di chi lo sta utilizzando ed evitare che venga ricondiviso a tua insaputa. Salviamo solo dati approssimativi e non identificativi: area geografica grossolana (paese/regione/città dedotti dagli header del nostro CDN Vercel) e tipo di browser/dispositivo (User-Agent). Nessun indirizzo IP grezzo viene mai salvato. Base giuridica: legittimo interesse del titolare al controllo dei propri link condivisi (GDPR art. 6.1.f). Conservazione: per tutta la vita del link condiviso; alla revoca o eliminazione del link i relativi log vengono cancellati automaticamente (CASCADE). Visibile esclusivamente all'admin della stanza.
  • Cestino Board (post-it, task, note, moduli cancellati): conservati in soft-delete per 30 giorni, recuperabili dall'utente in qualsiasi momento dal "Cestino" nella toolbar Board. Dopo 30 giorni cleanup automatico definitivo (cron mensile). L'utente puo' comunque eliminarli subito dal Cestino con il bottone "Elimina davvero" (GDPR art. 17).
  • Stanze (workspaces): soft-delete con retention 30 giorni. Cancellare una stanza richiede conferma esplicita (count match modulo + email) per evitare cancellazioni accidentali. Recuperabile dal Cestino Stanze entro 30gg. Dopo 30 giorni cleanup automatico definitivo. L'utente puo' eliminare immediatamente con flag esplicito (GDPR art. 17).
  • Fatture e dati fiscali: 10 anni come da obbligo di legge (DPR 633/72), conservati separatamente da Stripe.
  • Analytics: usiamo esclusivamente Plausible (hosting EU Frankfurt, no cookie, no PII, GDPR/PECR-compliant by design) per statistiche aggregate dal 2 maggio 2026. Google Analytics 4 è stato completamente dismesso il 16 maggio 2026 in conformità al provvedimento del Garante del 9 giugno 2022. Nessun trasferimento di dati personali verso USA per finalità analytics.

Puoi richiedere cancellazione anticipata in qualsiasi momento dalla pagina richieste GDPR.

Lista completa subprocessor: /privacy/subprocessors.

5. Condivisione dei dati

I dati possono essere condivisi con:

  • Supabase Inc.hosting del database e autenticazione (server EU).
  • Vercel Inc.hosting dell'applicazione web.
  • Google LLCautenticazione OAuth, invio reply via Gmail API, creazione eventi Google Calendar + Meet e documenti Google Drive/Docs (solo se scelti dall'utente; scope drive.file con accesso ai soli file creati dall'app).
  • Cloudflare Inc.ricezione e instradamento delle email in entrata tramite Email Workers, protezione DNS.
  • Resend Inc.invio di email transazionali (notifiche, inviti alle stanze, risposte in uscita).
  • Stripe Inc.gestione pagamenti e abbonamenti (server EU/US, PCI DSS compliant).
  • Sentry (Functional Software Inc.)monitoraggio errori e performance dell'applicazione (server EU/US).
  • Groq Inc. — provider AI (modello Llama 3.3 70B) per features opzionali di auto-tag, riassunti, analisi automatiche di email e suggerimenti di videocall. Server USA. Riceve oggetto e corpo (troncati) delle email solo se l'utente ha esplicitamente attivato l'opt-in «AI features» dalle impostazioni account. Per default le features AI sono disattivate. Nessuna ritenzione contrattuale dei prompt. Le email rimangono comunque cifrate AES-256 nel nostro database.
  • Register.it S.p.A.registrazione e gestione del dominio emailho.me.

Non vendiamo né cediamo dati personali a terzi per finalità commerciali.

6. Conservazione dei dati

I dati vengono conservati per la durata dell'utilizzo del servizio. Alla cancellazione dell'account, i dati personali vengono eliminati entro 30 giorni. I contenuti email nelle stanze condivise restano visibili agli altri membri fino alla cancellazione della stanza.

7. Diritti dell'interessato

Ai sensi del GDPR, hai diritto a:

  • Accedere ai tuoi dati personali.
  • Rettificare dati inesatti.
  • Richiedere la cancellazione dei tuoi dati.
  • Opporti al trattamento.
  • Richiedere la portabilità dei dati.
  • Proporre reclamo al Garante per la Protezione dei Dati Personali.

Per esercitare i tuoi diritti, scrivi a privacy@emailho.me.

Puoi anche inviare una richiesta formale di rimozione dati tramite il nostro modulo GDPR.

CRISTIAN TARABORRELLI STUDIO SRL non è soggetta all'obbligo di nomina di un DPO ai sensi dell'Art. 37 GDPR. Per ogni questione relativa alla protezione dei dati, il punto di contatto è privacy@emailho.me.

8. Cookie

emailho.me utilizza esclusivamente cookie tecnici necessari per l'autenticazione e il funzionamento del servizio. Non vengono utilizzati cookie di profilazione o di terze parti per finalità pubblicitarie.