NOTE LEGALI · INFORMATIVA SULLA PRIVACY

Informativa sulla privacy

Quali dati personali raccogliamo, perché li raccogliamo, come li utilizziamo e li condividiamo, e i diritti di cui disponete ai sensi del GDPR, del CCPA e delle normative equivalenti. Redatta per essere leggibile, strutturata per essere verificabile.

Versione

v1.0

In vigore dal

25 maggio 2026

Ultimo aggiornamento

23 maggio 2026

Stato

v1.0 · soggetto a modifiche

NOTA IN LINGUAGGIO SEMPLICE

Il presente documento è redatto in modo da essere leggibile. Si tratta di uno strumento giuridico vincolante — si prega di leggerlo con attenzione. Per chiarimenti, scrivere a [email protected] con oggetto [Legal]. EDMA Group si riserva il diritto di aggiornare il presente documento; le modifiche sostanziali saranno comunicate con almeno 30 giorni di anticipo via e-mail e pubblicate su /newsroom.

01 Chi siamo

La presente Informativa sulla privacy si applica ai dati personali raccolti da EDMA Group («EDMA», «noi») tramite l'applicazione TradeOS, il Trade Marketplace, i nostri siti web edma.trade e edma.co e i servizi correlati.

Per la maggior parte dei trattamenti descritti nella presente informativa, EDMA è il titolare del trattamento. Quando EDMA tratta dati personali per conto di un Cliente che utilizza TradeOS (ad esempio dati relativi ai propri dipendenti, fornitori, clienti o finanziatori), EDMA agisce in qualità di responsabile del trattamento e il Cliente è il titolare. Le condizioni del Accordo sul trattamento dei dati disciplinano i rapporti di responsabilità del trattamento.

La nostra sede legale e i recapiti per le questioni relative alla privacy sono riportati in fondo a questa pagina.

02 Cosa raccogliamo

Raccogliamo dati personali nelle seguenti categorie.

Dati di account e di identità

  • nome, e-mail, qualifica professionale, organizzazione, paese
  • credenziali di accesso (le password sono archiviate in forma hash; non conserviamo password in chiaro)
  • immagine del profilo, se caricata

Dati di utilizzo e tecnici

  • indirizzo IP, stringa user-agent, tipo di dispositivo, lingua del browser, fuso orario
  • pagine visitate, funzionalità utilizzate, azioni all'interno del prodotto, timestamp
  • log di errore e report di crash
  • metadati delle richieste API (endpoint, codici di stato, latenza)

Dati aziendali e commerciali

  • registrazioni operative inserite dal Cliente in TradeOS, che possono includere dati personali dei dipendenti, fornitori, clienti e finanziatori del Cliente (controllati dal Cliente; trattati da noi)
  • metadati delle comunicazioni (mittente, destinatario, timestamp, canale) relativi ai messaggi scambiati tramite i portali TradeOS
  • Documenti caricati e relativi metadati

Marketing e corrispondenza

  • messaggi inviati tramite i nostri moduli di contatto (edma.trade/contact)
  • stato di iscrizione alla newsletter di briefing per gli operatori
  • registrazioni a eventi di marketing e prenotazioni di demo

Cookie e tecnologie analoghe

Consultare la Informativa sui cookie per un elenco dei cookie che utilizziamo, le relative finalità e le modalità di gestione.

03 Come utilizziamo i dati personali

Utilizziamo i dati personali per:

  • Erogare il Servizio — autenticare gli utenti, restituire i dati corretti al tenant corretto, instradare Documenti e notifiche tra le controparti, calcolare le cascate di regolamento e gestire il Trade Marketplace.
  • Migliorare il Servizio — analizzare i modelli di utilizzo aggregati, identificare anomalie, definire le priorità delle funzionalità e addestrare modelli di IA interni esclusivamente su dati aggregati e anonimizzati (non addestriamo fornitori di IA esterni con Dati del Cliente; cfr. §5).
  • Proteggere il Servizio — rilevare e prevenire abusi, frodi, violazioni di sanzioni, malware, scraping e accessi non autorizzati; condurre indagini sugli incidenti.
  • Rispondere alle richieste e fornire assistenza — rispondere ai messaggi inviati tramite i moduli di contatto o all'indirizzo [email protected]; instradare le richieste al team interno competente.
  • Inviare comunicazioni operative e di marketing — annunci di servizio, avvisi di sicurezza, avvisi di fatturazione e (con il consenso dell'interessato o ove consentito dalla legge) la newsletter di briefing per gli operatori.
  • Adempiere agli obblighi di legge — rispettare gli obblighi fiscali, contabili, relativi alle sanzioni, alla lotta al riciclaggio di denaro e alla protezione dei dati; rispondere alle richieste legittime delle autorità.

04 Basi giuridiche (GDPR)

Ove il GDPR sia applicabile, il nostro trattamento si fonda su una o più delle seguenti basi:

  • Esecuzione del contratto — per erogare il Servizio a cui il Cliente ha aderito e per gestire il Marketplace.
  • Interesse legittimo — per proteggere il Servizio, prevenire frodi e abusi, migliorare il prodotto e svolgere le operazioni aziendali. Bilanciamo i nostri interessi rispetto ai vostri diritti e alle vostre libertà.
  • Consenso — per i cookie non essenziali, le comunicazioni di marketing a cui si aderisce e qualsiasi altro trattamento per il quale il consenso costituisce la base appropriata. Il consenso può essere revocato in qualsiasi momento.
  • Obbligo di legge — per conformarsi alla normativa fiscale, contabile, sulle sanzioni, sull'AML e sulla protezione dei dati.

Avete il diritto di opporvi al trattamento basato sull'interesse legittimo. Consultare il §8 per le modalità di esercizio di tale diritto.

05 Con chi condividiamo i dati

Condividiamo i dati personali esclusivamente nei casi descritti di seguito.

Fornitori di servizi (sub-responsabili del trattamento)

Utilizziamo un numero limitato di sub-responsabili del trattamento verificati per ospitare il Servizio, recapitare le e-mail e fornire funzionalità specifiche. L'elenco aggiornato dei sub-responsabili è disponibile nel Accordo sul trattamento dei dati. I sub-responsabili sono vincolati da accordi scritti che soddisfano i requisiti dell'articolo 28 del GDPR. Notifichiamo ai Clienti l'introduzione di nuovi sub-responsabili con almeno trenta (30) giorni di anticipo rispetto all'inizio del trattamento dei Dati del Cliente.

Fornitori di intelligenza artificiale

Atlas Document Intelligence, l'Accounting AI, il Bot Studio e funzionalità analoghe si avvalgono di uno o più fornitori di intelligenza artificiale terzi (ad es. Anthropic, OpenAI, Google) su base per-richiesta. Trasmettiamo esclusivamente i dati minimi necessari per l'attività richiesta; ove disponibili, utilizziamo endpoint aziendali con zero data retention, in modo che le richieste non vengano conservate né utilizzate per l'addestramento. Il Cliente può disattivare i fornitori di IA esterni a favore del modello Gemma ospitato localmente nei livelli Sovereign e Air-Gapped.

Controparti del Marketplace

Quando un Cliente (Operatore) pubblica un'inserzione sul Marketplace, dati riepilogativi anonimi sono visibili ai Finanziatori verificati. I dettagli identificativi (nome dell'operatore, nomi delle controparti, ubicazione dello stabilimento) vengono rivelati soltanto dopo che l'Operatore approva esplicitamente la richiesta di un Finanziatore specifico, secondo il protocollo di divulgazione in due fasi descritto all'indirizzo edma.trade/network/how-financing-works.

Autorità

Comunichiamo dati personali a tribunali, autorità di vigilanza o forze dell'ordine laddove ciò sia richiesto da un procedimento legale valido o per tutelare i nostri diritti. Ove consentito dalla legge, ne informiamo preventivamente i Clienti interessati.

Operazioni societarie

Qualora EDMA sia oggetto di una fusione, acquisizione, ristrutturazione o cessione di attività, i dati personali potranno essere trasferiti all'entità successore. La nuova entità sarà vincolata dalla presente Informativa sulla privacy o da una successiva con protezioni sostanzialmente equivalenti.

Non vendiamo né affittiamo dati personali.

06 Trasferimenti internazionali

EDMA opera in più giurisdizioni, tra cui lo Spazio economico europeo, il Regno Unito e altre regioni. I dati personali possono essere trasferiti verso paesi diversi da quello in cui sono stati raccolti ed essere ivi trattati.

Quando i dati personali vengono trasferiti al di fuori del SEE o del Regno Unito verso un paese non ritenuto adeguato sul piano della protezione dei dati, ci fondiamo su garanzie appropriate, tra cui le Clausole contrattuali standard della Commissione europea (e il loro equivalente britannico), misure tecniche supplementari (cifratura in transito e a riposo) e misure contrattuali supplementari con il responsabile del trattamento destinatario.

L'elenco delle regioni in cui sono ospitati i Dati del Cliente è documentato nel DPA.

07 Conservazione

Conserviamo i dati personali solo per il tempo necessario alle finalità indicate al §3, dopodiché li cancelliamo o li anonimizziamo. In particolare:

  • Dati dell'account — per la durata dell'account, più un ragionevole periodo di archiviazione per eventuali rivendicazioni legali.
  • Dati del Cliente in TradeOS — per la durata del Periodo di abbonamento più una finestra di esportazione di 30 giorni, trascorsa la quale provvediamo alla cancellazione (fatte salve le obbligazioni di conservazione imposte dalla legge al Cliente, ad esempio i registri fiscali).
  • Log di utilizzo & log di sicurezza — in genere 12 mesi, o più a lungo se necessario per indagini.
  • Dati di marketing — fino alla disiscrizione dell'abbonato, più una lista di soppressione per rispettare la disiscrizione.
  • Documenti finanziari & fatture — per il periodo previsto dalla normativa fiscale e contabile (generalmente da 6 a 10 anni a seconda della giurisdizione).

08 I suoi diritti

Se il GDPR o una normativa equivalente si applica alla sua situazione, lei dispone dei seguenti diritti in relazione ai dati personali che trattiamo a suo riguardo:

  • Accesso — richiedere una copia dei dati personali che deteniamo a suo riguardo.
  • Rettifica — chiederci di correggere dati inesatti o incompleti.
  • Cancellazione — chiederci di eliminare dati personali qualora non sussista una base giuridica prevalente che ne giustifichi la conservazione.
  • Limitazione — chiederci di sospendere il trattamento per il tempo necessario alla risoluzione di una controversia.
  • Portabilità — richiedere una copia leggibile da macchina dei dati da lei forniti, in un formato strutturato e di uso comune.
  • Opposizione — opporsi al trattamento basato su interesse legittimo, incluse la profilazione e il marketing diretto.
  • Revoca del consenso — qualora il trattamento sia basato sul consenso, lei può revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.
  • Reclamo — presentare un reclamo all'autorità di controllo competente. Si veda il §14.

Per esercitare questi diritti, scriva a [email protected] indicando come oggetto [Privacy]. Risponderemo entro trenta (30) giorni. Potremmo richiedere una prova d'identità prima di dar seguito alla richiesta. Qualora i dati costituiscano Dati del Cliente (trattati da noi per conto di un Cliente), inoltreremo la sua richiesta al Cliente-titolare competente.

09 CCPA / Informative ai sensi delle leggi statali USA

Se risiede in California, il California Consumer Privacy Act (CCPA) e il California Privacy Rights Act (CPRA) Le conferiscono diritti aggiuntivi:

  • Diritto di accesso alle categorie di dati personali che abbiamo raccolto su di Lei, alle fonti, alle finalità e ai soggetti a cui li divulghiamo.
  • Diritto alla cancellazione dei dati personali, fatte salve le eccezioni applicabili.
  • Diritto di rettifica dei dati personali inesatti.
  • Diritto di opposizione alla «vendita» o alla «condivisione» di dati personali. Non vendiamo né condividiamo dati personali secondo le definizioni previste dalla CCPA/CPRA.
  • Diritto di limitare il trattamento dei dati personali sensibili, ove applicabile.
  • Diritto alla non discriminazione nell'esercizio di tali diritti.

Per esercitare questi diritti, ci contatti secondo le modalità indicate al §8. Non raccogliamo consapevolmente dati personali di soggetti di età inferiore ai 16 anni.

Se risiede in Virginia, Colorado, Connecticut, Utah, Texas o in un altro Stato degli USA dotato di una legislazione organica sulla privacy, dispone di diritti sostanzialmente analoghi a quelli sopra descritti. Applichiamo le stesse procedure indipendentemente dalla giurisdizione.

10 Cookies & tracciamento

Utilizziamo un numero limitato di cookie e tecnologie simili sui nostri siti web e nel Servizio. Consulti la Informativa sui cookie per l'inventario completo e le istruzioni su come gestirli.

Non utilizziamo cookie pubblicitari di terze parti. Non partecipiamo a reti pubblicitarie cross-site.

11 Sicurezza

Proteggiamo i dati personali con misure di salvaguardia amministrative, tecniche e fisiche adeguate al rischio, tra cui la crittografia in transito (TLS 1.2+) e a riposo, il controllo degli accessi basato sui ruoli, l'accesso alla produzione secondo il principio del minimo privilegio, la registrazione degli audit, la gestione delle vulnerabilità, le procedure di backup e di disaster recovery, nonché la formazione del personale. Le misure tecniche e organizzative che applichiamo sono descritte in dettaglio nel DPA.

Nessun sistema è perfettamente sicuro. Se venite a conoscenza di una vulnerabilità o sospettate una violazione, scrivete a [email protected] con oggetto [Security].

12 Minori

Il Servizio è destinato all'uso professionale da parte di adulti. Non raccogliamo consapevolmente dati personali da soggetti di età inferiore a 16 anni. Se ritenete che un minore ci abbia fornito dati personali, vi preghiamo di contattarci e provvederemo alla loro cancellazione.

13 Modifiche

Potremmo aggiornare periodicamente la presente Informativa sulla privacy. La versione vigente è sempre disponibile all'indirizzo edma.trade/legal/privacy con la data di «Ultimo aggiornamento» in cima. Le modifiche sostanziali — quelle che riducono significativamente i vostri diritti o introducono nuove categorie di trattamento — saranno comunicate agli amministratori dell'account via e-mail almeno 30 giorni prima della loro entrata in vigore.

14 Contatti e reclami

Per domande, richieste o reclami relativi alla privacy, contattateci all'indirizzo [email protected] con oggetto [Privacy]. Inviamo un primo riscontro entro un giorno lavorativo e forniamo una risposta sostanziale entro trenta (30) giorni.

Se vi trovate nello SEE, nel Regno Unito o in Svizzera e non siete soddisfatti della nostra risposta, avete il diritto di presentare un reclamo all'autorità di controllo locale competente in materia di protezione dei dati.

DOMANDE

Scrivici.

Per chiarimenti, reclami o per esercitare un diritto sui dati ai sensi del presente documento — scrivere a [email protected] con oggetto [Legal]. Rispondiamo entro un giorno lavorativo.

ENTITÀ LEGALE

EDMA Group

L'entità che opera dietro TradeOS, il Marketplace e le attività più ampie di EDMA Group. I dati di registrazione societaria sono disponibili su richiesta all'indirizzo indicato sopra. edma.co →

ARCHIVIO

Versioni precedenti.

Le versioni precedenti di questo documento sono archiviate. Per richiedere una versione specifica, scrivere a [email protected] con oggetto [Legal archive].

Informativa sulla privacy | TradeOS