Privacy Policy
Ultimo aggiornamento: 29 maggio 2026
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è Coralis S.r.l.s., P.IVA 03305740593, REA LT-327139, con sede legale in Via Alessandro Manzoni 58, 04100 Latina (LT), Italia (di seguito anche "Vendooly" o "noi"). Email contatti: privacy@vendooly.com.
Il responsabile della protezione dei dati (DPO) è raggiungibile all'indirizzo dpo@vendooly.com.
2. Dati raccolti
Trattiamo le seguenti categorie di dati personali:
- Dati di registrazione: nome, indirizzo email, password (in forma cifrata bcrypt), foto profilo Google (opzionale).
- Dati account marketplace: identificativi seller Amazon, token OAuth (cifrati AES-256-GCM), marketplace ID, refresh token SP-API.
- Dati di utilizzo: log di accesso, indirizzo IP, user agent, audit log delle azioni svolte sulla piattaforma.
- Dati di pagamento: gestiti tramite il provider Stripe Payments Europe Ltd. — non memorizziamo numeri di carta sui nostri server.
- Dati di catalogo: ASIN, SKU, titoli, prezzi, inventario importati dai tuoi account Amazon.
3. Finalità e base giuridica
| Finalità | Base giuridica (GDPR art. 6) |
|---|---|
| Erogazione del servizio SaaS | Esecuzione del contratto (lett. b) |
| Fatturazione e adempimenti fiscali | Obbligo di legge (lett. c) |
| Comunicazioni transazionali (reset password, alert) | Esecuzione del contratto (lett. b) |
| Marketing diretto (newsletter) | Consenso (lett. a) — revocabile |
| Sicurezza, prevenzione frodi, log | Legittimo interesse (lett. f) |
4. Conservazione (retention)
- Dati account utente: per tutta la durata del contratto + 30 giorni dalla cancellazione.
- Dati di fatturazione: 10 anni (art. 2220 c.c.).
- Log di accesso e audit: 12 mesi.
- Dati operativi Amazon non personali (cache catalogo, serie storiche di vendita): massimo 18 mesi, in linea con l'Amazon Data Protection Policy; le righe non più aggiornate vengono eliminate automaticamente.
- Token Amazon SP-API/Ads: cifrati a riposo (AES-256-GCM) e revocati immediatamente al disconnect dell'account.
- Backup database: 30 giorni rolling.
Su richiesta dell'Utente, tutti i dati associati vengono cancellati o anonimizzati entro 30 giorni (cancellazione account, log applicativi, cache). La cancellazione è eseguibile anche in autonomia dal pannello.
5. Destinatari e responsabili esterni
Comunichiamo dati ai seguenti responsabili del trattamento (art. 28 GDPR), con cui abbiamo sottoscritto DPA:
- IONOS SE (DE) — hosting webspace e database MySQL.
- Stripe Payments Europe Ltd. (IE) — gestione pagamenti.
- Amazon Services Europe S.à.r.l. (LU) — fonte dati SP-API tramite OAuth utente.
- Aruba S.p.A. (IT) — invio email transazionali SMTP.
- Sentry Inc. (US) — error monitoring (eventuale, dato pseudonimizzato).
- UptimeRobot (US) — monitoring uptime (solo URL pubblici).
Provider di intelligenza artificiale (su attivazione dell'Utente). Se colleghi Vendooly al tuo assistente IA tramite connettore MCP, i dati del tuo account Amazon (catalogo, ordini, metriche) vengono trasmessi al provider che hai scelto, nella misura necessaria a rispondere alle tue richieste:
- Anthropic PBC (US) — assistente Claude;
- OpenAI, L.L.C. (US) — assistente ChatGPT;
- Google LLC (US) — assistente Gemini.
Il trasferimento avviene solo su iniziativa dell'Utente (attivazione del connettore) e cessa con la disconnessione, revocabile in qualsiasi momento dalle impostazioni. Al trattamento effettuato dal provider IA si applicano i suoi termini e la sua privacy policy: verifica le impostazioni di conservazione e di addestramento dei modelli del tuo piano. I trasferimenti verso gli USA si fondano su EU-US Data Privacy Framework e/o SCC (vedi sez. 6).
Accuratezza dell'IA e freschezza dei dati. Gli output generati dall'intelligenza artificiale hanno natura di supporto e possono contenere errori o imprecisioni: vanno verificati prima di agire. Nessuna modifica all'account Amazon (prezzi, stock, budget, campagne, listing) viene eseguita senza approvazione esplicita dell'Utente. I dati operativi mostrati (catalogo, vendite, metriche) provengono in parte da chiamate live alle API Amazon e in parte da una cache aggiornata periodicamente: possono quindi rappresentare uno snapshot non in tempo reale. L'Utente vede sempre l'indicazione dell'ultimo aggiornamento del dato.
6. Trasferimenti extra-UE
Alcuni servizi (Amazon SP-API, Sentry, UptimeRobot, provider IA attivati dall'Utente) possono comportare trasferimento dati verso gli Stati Uniti. Tali trasferimenti avvengono in base al EU-US Data Privacy Framework e/o a Standard Contractual Clauses (SCC) adottate dalla Commissione Europea (decisione 2021/914), con misure supplementari (cifratura at-rest e in-transit).
7. Diritti dell'interessato
Hai diritto, ai sensi degli artt. 15-22 GDPR, a:
- Accesso ai dati;
- Rettifica e cancellazione;
- Limitazione del trattamento;
- Portabilità in formato strutturato (CSV/JSON);
- Opposizione al trattamento basato su legittimo interesse o marketing;
- Revoca del consenso in qualsiasi momento;
- Proporre reclamo al Garante per la protezione dei dati personali.
Le richieste vanno inviate a privacy@vendooly.com e saranno evase entro 30 giorni.
7-bis. Decisioni automatizzate e suggerimenti IA (art. 22 GDPR)
Vendooly utilizza algoritmi e modelli di linguaggio (LLM) per generare suggerimenti operativi: ottimizzazioni di catalogo, proposte di prezzo, raccomandazioni su campagne pubblicitarie. Nessuna decisione con effetti giuridici o significativi sull'Utente è presa in modo esclusivamente automatizzato: ogni azione sull'account Amazon (prezzi, stock, campagne, listing) richiede approvazione esplicita dell'Utente. Hai comunque diritto di ottenere spiegazioni su qualsiasi suggerimento e di contestarlo scrivendo a privacy@vendooly.com.
8. Sicurezza
Adottiamo misure tecniche e organizzative adeguate: HTTPS/TLS 1.3, password con bcrypt (cost 10), token OAuth cifrati AES-256-GCM con chiave dedicata, segregazione tenant tramite org_id, audit log completo, backup notturni cifrati, accesso ai sistemi su base need-to-know.
9. Cookie
L'uso dei cookie è descritto nella Cookie Policy dedicata.
10. Modifiche
Eventuali modifiche sostanziali alla presente policy saranno comunicate via email e tramite avviso in-app almeno 30 giorni prima dell'entrata in vigore.
Privacy Policy (English summary)
The data controller is Coralis S.r.l.s., VAT IT03305740593, Via Alessandro Manzoni 58, 04100 Latina (LT), Italy. Contact: privacy@vendooly.com.
What we collect
Account data (name, email, hashed password), Amazon SP-API tokens (AES-256-GCM encrypted), usage logs, billing info via Stripe, catalog data imported from your Amazon accounts.
Legal basis
Contract performance, legal obligations (tax), legitimate interest (security), consent (marketing).
Retention
User data: contract term + 30 days. Billing: 10 years (Italian law). Logs: 12 months. Backups: 30 days rolling.
Third-party processors
IONOS (hosting DE), Stripe (payments IE), Amazon (SP-API LU), Aruba (SMTP IT), Sentry (US), UptimeRobot (US). If you connect an AI assistant via MCP connector, your Amazon account data is transmitted to the provider you choose — Anthropic (Claude, US), OpenAI (ChatGPT, US) or Google (Gemini, US) — only upon your activation and until you disconnect; the provider's own terms and privacy policy apply (check model-training and retention settings). Extra-EU transfers rely on EU-US DPF and/or SCCs (Commission Decision 2021/914) with supplementary encryption measures. No solely automated decision producing legal effects is made: every action on your Amazon account requires your explicit approval (GDPR art. 22).
Your rights (GDPR art. 15-22)
Access, rectification, erasure, restriction, portability, objection, consent withdrawal, complaint to the Italian DPA (Garante Privacy). Email privacy@vendooly.com — we respond within 30 days.
Security
TLS 1.3, bcrypt password hashing, AES-256-GCM for OAuth tokens, per-tenant isolation via org_id, full audit log, encrypted nightly backups.