Privacy Policy

Ultimo aggiornamento: 3 aprile 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite la piattaforma Nexra Pay è Nexra Studio, con sede a Milano, Italia.

Per qualsiasi richiesta relativa al trattamento dei dati è possibile contattare il titolare all'indirizzo email: [email protected].

2. Tipologie di dati raccolti

Nell'ambito dell'utilizzo di Nexra Pay vengono raccolti e trattati le seguenti categorie di dati personali:

  • Dati anagrafici e di contatto: nome, cognome, indirizzo email, numero di telefono (ove fornito) dell'utente che si registra alla piattaforma.
  • Dati di accesso e autenticazione: indirizzo email e credenziali di accesso (codice OTP o token Google OAuth), log di sessione e cookie di autenticazione.
  • Dati dell'organizzazione/workspace: ragione sociale, settore di attività, partita IVA (ove fornita), timezone e preferenze operative del workspace.
  • Dati relativi ai clienti dell'utente: nome, cognome e indirizzo email dei destinatari delle richieste di pagamento create dall'utente all'interno della piattaforma.
  • Dati relativi alle richieste di pagamento: importi, descrizioni, date di scadenza, stato del pagamento, allegati (es. fatture in formato PDF), identificativi delle sessioni di pagamento Stripe.
  • Dati tecnici di navigazione: indirizzo IP, tipo di browser, sistema operativo, pagine visitate, durata della sessione, dati di utilizzo aggregati tramite Google Analytics.
  • Dati di pagamento: le transazioni finanziarie sono gestite direttamente da Stripe (provider terzo); Nexra Pay non memorizza numeri di carta o dati bancari completi.

3. Finalità e base giuridica del trattamento

I dati personali sono trattati per le seguenti finalità:

a) Erogazione del servizio (base giuridica: esecuzione del contratto)

Creazione e gestione dell'account utente, gestione dei workspace e dei team, creazione e invio di richieste di pagamento, gestione dei solleciti automatici, onboarding su Stripe Connect.

b) Invio comunicazioni operative (base giuridica: esecuzione del contratto)

Invio di codici OTP per l'accesso, notifiche relative alle richieste di pagamento, inviti per l'accesso al workspace, solleciti di pagamento ai clienti finali dell'utente.

c) Sicurezza e prevenzione delle frodi (base giuridica: legittimo interesse)

Monitoraggio degli accessi, rilevamento di attività anomale, protezione dell'integrità della piattaforma e dei dati degli utenti.

d) Adempimenti normativi e fiscali (base giuridica: obbligo legale)

Conservazione dei dati necessaria per obblighi fiscali, contabili e di conformità normativa applicabili.

e) Miglioramento della piattaforma e analisi statistica (base giuridica: legittimo interesse)

Analisi aggregata dell'utilizzo del servizio tramite strumenti di web analytics (Google Analytics) al fine di migliorare le funzionalità offerte.

4. Destinatari dei dati

I dati personali possono essere condivisi con le seguenti categorie di soggetti terzi, che operano come responsabili del trattamento o titolari autonomi:

  • Stripe, Inc. (San Francisco, CA, USA) — provider per l'elaborazione dei pagamenti tramite Stripe Connect. Stripe è certificato PCI-DSS e dispone di adeguate garanzie per il trasferimento di dati verso gli USA (Privacy Shield / Standard Contractual Clauses). Consulta la Privacy Policy di Stripe.
  • Resend — provider per l'invio di comunicazioni email transazionali (OTP, notifiche, solleciti). Consulta la Privacy Policy di Resend.
  • Google LLC — per l'autenticazione tramite Google OAuth e per l'analisi del traffico tramite Google Analytics. Consulta la Privacy Policy di Google.
  • MongoDB Atlas (MongoDB, Inc.) — provider per l'archiviazione dei dati nel database cloud. I dati vengono archiviati in datacenter in Europa (EU). Consulta la Privacy Policy di MongoDB.
  • Google Cloud (Google LLC) — infrastruttura cloud (Cloud Run) su cui è ospitato il backend di Nexra Pay, con datacenter in Europa.

I dati non vengono venduti né ceduti a terzi per finalità di marketing.

5. Trasferimento di dati extra-UE

Alcuni dei provider terzi sopra elencati (in particolare Stripe e Google) hanno sede negli Stati Uniti. Il trasferimento di dati personali verso tali paesi avviene nel rispetto delle garanzie previste dal Regolamento GDPR, in particolare attraverso le Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea, o in forza di decisioni di adeguatezza vigenti.

6. Periodo di conservazione

I dati personali vengono conservati per i periodi di seguito indicati:

  • Dati dell'account: per tutta la durata del rapporto contrattuale e, successivamente alla chiusura dell'account, per il periodo necessario ad adempiere agli obblighi di legge (generalmente 10 anni per obblighi fiscali e contabili).
  • Log di accesso e sicurezza: massimo 12 mesi dalla registrazione dell'evento.
  • Dati tecnici di navigazione (analytics): secondo le politiche di Google Analytics (di default 26 mesi).
  • Codici OTP: 10 minuti dalla generazione, con cancellazione automatica dopo la verifica o la scadenza.
  • Richieste di pagamento e dati collegati: per la durata del contratto e per il periodo necessario agli adempimenti fiscali e normativi.

7. Diritti dell'interessato

In qualità di interessato, ai sensi del Regolamento (UE) 2016/679 (GDPR), hai il diritto di:

  • Accesso ai dati personali che ti riguardano;
  • Rettifica dei dati inesatti o incompleti;
  • Cancellazione ("diritto all'oblio") dei dati, ove applicabile;
  • Limitazione del trattamento in determinati casi;
  • Portabilità dei dati in formato strutturato e leggibile da macchina;
  • Opposizione al trattamento basato su legittimo interesse;
  • Revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente;
  • Proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (Garante Privacy italiano, www.garanteprivacy.it).

Per esercitare i tuoi diritti, scrivi a: [email protected]. Risponderemo entro 30 giorni dalla ricezione della richiesta.

8. Cookie

Il sito utilizza cookie tecnici essenziali per il funzionamento della piattaforma e cookie di analisi aggregata (Google Analytics). Per maggiori informazioni consulta la nostra Cookie Policy.

9. Sicurezza dei dati

Nexra Pay adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, alterazione o divulgazione. Tra le misure adottate: autenticazione tramite JWT con cookie HttpOnly, connessioni cifrate HTTPS, separazione logica dei dati per workspace, e collaborazione con provider certificati (es. Stripe PCI-DSS).

10. Modifiche alla presente informativa

La presente informativa può essere aggiornata periodicamente. In caso di modifiche sostanziali, gli utenti registrati saranno notificati via email o tramite avviso in piattaforma. La data dell'ultimo aggiornamento è sempre indicata in cima alla pagina.