Pagina iniziale

Informativa sulla Privacy

Ultimo aggiornamento: 24 Marzo 2026

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali raccolti tramite la piattaforma ReachLoop è:

  • Ragione sociale: NuMa Menu S.r.l.
  • Sede legale: Corso XXII Marzo, 4 — 20135 Milano (MI), Italia
  • Partita IVA: IT14573500965
  • Email di contatto: privacy@reachloop.io

Ai sensi dell'art. 37 del Regolamento UE 2016/679 (GDPR), il Titolare non è tenuto alla nomina di un Responsabile della Protezione dei Dati (DPO) in quanto piccola e media impresa che non effettua trattamenti su larga scala di categorie particolari di dati. Tutte le richieste relative alla protezione dei dati personali possono essere indirizzate a privacy@reachloop.io.

2. Dati Raccolti

ReachLoop raccoglie e tratta le seguenti categorie di dati personali:

a) Dati dell'account (tramite Clerk)

  • Nome e cognome
  • Indirizzo email
  • Immagine del profilo

b) Dati LinkedIn (tramite Unipile)

  • ID dell'account LinkedIn
  • Stato delle connessioni
  • Nonmemorizziamo la password di LinkedIn. L'autenticazione avviene tramite OAuth gestito da Unipile.

c) Dati dei prospect

  • Informazioni pubbliche del profilo LinkedIn: nome, titolo professionale, azienda, località, esperienza lavorativa, istruzione
  • Tali dati sono ottenuti tramite ricerche LinkedIn eseguite per conto dell'utente

d) Dati dei messaggi

  • Messaggi di outreach generati dall'AI (note di connessione, primi messaggi, follow-up)
  • Risposte ricevute dai prospect

e) Dati di utilizzo

  • Conteggi giornalieri delle azioni (inviti, messaggi, ricerche)
  • Consumo di token AI
  • Configurazioni degli agenti

f) Dati di pagamento (tramite Polar)

  • Livello di abbonamento (trial, pro, expired)
  • Storico dei pagamenti
  • Non memorizziamo numeri di carta di credito. I dati di pagamento sono elaborati interamente da Polar.

g) Dati tecnici

  • Indirizzo IP
  • Tipo di browser e dispositivo
  • Informazioni ricavate dai log di accesso dell'infrastruttura

3. Base Legale del Trattamento

Ogni attività di trattamento si fonda su una specifica base giuridica ai sensi dell'art. 6 del GDPR:

a) Esecuzione del contratto — art. 6(1)(b) GDPR

  • Gestione dell'account utente
  • Esecuzione degli agenti (ricerca prospect, invio connessioni, messaggistica)
  • Consegna dei messaggi e gestione delle risposte
  • Generazione di messaggi personalizzati tramite AI (necessaria per l'erogazione del servizio)

b) Consenso esplicito — art. 6(1)(a) GDPR

  • La creazione di un agente costituisce consenso esplicito alle azioni automatizzate su LinkedIn (ricerche, inviti, messaggi)
  • Il consenso viene registrato con timestamp e versione dell'informativa
  • L'utente può revocare il consenso in qualsiasi momento eliminando o mettendo in pausa l'agente

c) Interesse legittimo — art. 6(1)(f) GDPR

  • Sicurezza della piattaforma e prevenzione delle frodi
  • Analisi aggregate e anonimizzate per il miglioramento del servizio
  • Monitoraggio dell'integrità del sistema

d) Obbligo legale — art. 6(1)(c) GDPR

  • Conservazione di documenti fiscali e contabili ai sensi della normativa italiana
  • Adempimenti regolamentari applicabili

4. Processi Automatizzati e Profilazione

Ai sensi dell'art. 22 del GDPR, informiamo che il servizio comporta processi decisionali automatizzati:

  • Selezione dei prospect: l'intelligenza artificiale identifica i prospect da contattare in base ai criteri di ricerca configurati dall'utente
  • Generazione dei messaggi:OpenAI GPT-5.4 mini analizza il profilo pubblico del prospect e le istruzioni dell'agente per generare messaggi personalizzati
  • Tempistica dei follow-up:il sistema determina automaticamente quando inviare messaggi di follow-up in base alla configurazione dell'agente

Diritti dell'utente:

  • Richiedere l'intervento umano nei processi automatizzati
  • Esprimere la propria opinione su decisioni automatizzate
  • Contestare decisioni prese in modo automatizzato

Controllo dell'utente:l'utente mantiene il pieno controllo e può:

  • Rivedere e modificare i messaggi generati prima dell'invio
  • Mettere in pausa o eliminare gli agenti in qualsiasi momento
  • Escludere singoli prospect dalle campagne
  • Configurare nel dettaglio lo stile, il tono e le regole di comunicazione

5. Trasferimento dei Dati al di fuori dell'UE

Alcuni dei nostri sub-responsabili del trattamento sono situati al di fuori dello Spazio Economico Europeo (SEE). Per ogni trasferimento, sono adottate garanzie adeguate ai sensi del Capo V del GDPR:

  • OpenAI LLC (USA): Clausole Contrattuali Standard (SCC) ai sensi della Decisione della Commissione UE 2021/914
  • Clerk Inc. (USA): SCC con garanzie supplementari
  • Vercel Inc. (USA): SCC
  • Convex Inc.: hosting in EU-West — nessun trasferimento extra-UE
  • Unipile SAS: con sede in Francia/UE — nessun trasferimento extra-UE
  • Polar Sh:con sede nell'UE — nessun trasferimento extra-UE

L'utente può richiedere informazioni sulle specifiche garanzie adottate scrivendo a privacy@reachloop.io.

6. Periodo di Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono raccolti:

  • Dati dell'account:fino alla cancellazione dell'account + 30 giorni per il recupero da backup
  • Dati dei prospect:fino a quando l'utente elimina l'agente o i prospect, oppure fino alla cancellazione dell'account
  • Dati dei messaggi:fino all'eliminazione da parte dell'utente o alla cancellazione dell'account
  • Log di utilizzo AI: 12 mesi per la riconciliazione della fatturazione
  • Documenti di pagamento: 10 anni in conformità agli obblighi fiscali italiani (art. 2220 Codice Civile)
  • Log tecnici: 90 giorni
  • Log di audit: 24 mesi per finalità di sicurezza

Al termine del periodo di conservazione, i dati vengono cancellati in modo sicuro o resi anonimi in modo irreversibile.

7. Diritti dell'Interessato

Ai sensi degli articoli 15-22 del GDPR, l'utente ha diritto di:

  • Accesso (art. 15): ottenere una copia di tutti i dati personali in nostro possesso
  • Rettifica (art. 16): correggere dati inesatti o incompleti
  • Cancellazione (art. 17):ottenere la cancellazione dei propri dati ("diritto all'oblio"). È possibile farlo dalla pagina Impostazioni o tramite richiesta email
  • Portabilità (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON)
  • Limitazione (art. 18): limitare il trattamento in determinate circostanze previste dalla legge
  • Opposizione (art. 21):opporsi al trattamento basato sull'interesse legittimo
  • Revoca del consenso (art. 7(3)): revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca
  • Reclamo: presentare reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it)

Tempi di risposta: entro 30 giorni dalla ricezione della richiesta, prorogabili di ulteriori 60 giorni in caso di richieste complesse, previa comunicazione motivata.

Come esercitare i diritti:inviare un'email a privacy@reachloop.io oppure utilizzare la pagina Impostazioni del proprio account.

8. Sub-responsabili del Trattamento

Per l'erogazione del servizio, ci avvaliamo dei seguenti sub-responsabili del trattamento:

Sub-responsabileFinalitàSedeGaranzie
Clerk Inc.Autenticazione e gestione utentiUSASCC + garanzie supplementari
Convex Inc.Database e backendEU-WestHosting in UE
OpenAI LLCGenerazione messaggi tramite AIUSASCC (Decisione UE 2021/914)
Unipile SASIntegrazione API LinkedInFrancia/UEHosting in UE
Polar ShElaborazione pagamentiUEHosting in UE
Vercel Inc.Hosting dell'applicazioneUSASCC

Il Titolare si impegna a garantire che tutti i sub-responsabili offrano garanzie sufficienti per attuare misure tecniche e organizzative adeguate, conformemente al GDPR.

9. Misure di Sicurezza

Adottiamo misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, ai sensi dell'art. 32 del GDPR:

  • Crittografia in transito: tutte le comunicazioni utilizzano TLS 1.2 o superiore
  • Crittografia a riposo: AES-256 fornita dai provider di infrastruttura
  • Isolamento dei dati per utente:ogni query al database include verifiche di ownership per prevenire l'accesso ai dati di altri utenti
  • Verifica delle firme webhook: ogni webhook in ingresso viene autenticato tramite firma crittografica
  • Rate limiting: limiti sulle richieste API per prevenire abusi
  • Audit logging: registrazione delle operazioni sensibili per tracciabilità
  • Controllo degli accessi: principio del minimo privilegio
  • Nessuna memorizzazione di password LinkedIn: l'autenticazione avviene esclusivamente tramite OAuth gestito da Unipile

10. Minori

ReachLoop non è destinato a persone di età inferiore ai 18 anni. Non raccogliamo consapevolmente dati personali di minori. Se venissimo a conoscenza di aver raccolto dati di un minore, tali dati saranno eliminati immediatamente e senza ritardo. Se ritieni che abbiamo raccolto dati relativi a un minore, contattaci a privacy@reachloop.io.

11. Modifiche alla presente Informativa

Ci riserviamo il diritto di aggiornare la presente Informativa sulla Privacy. Le modifiche saranno gestite come segue:

  • Modifiche sostanziali:notificate via email con almeno 30 giorni di preavviso prima dell'entrata in vigore
  • Modifiche non sostanziali: pubblicate su questa pagina con aggiornamento della data in alto
  • L'uso continuato del servizio dopo la notifica costituisce accettazione delle modifiche

La data dell'ultimo aggiornamento è sempre visibile in cima a questa pagina.

ReachLoop è un prodotto di NuMa Menu S.r.l.
Sede Legale: Corso XXII Marzo, 4 — 20135 Milano (MI), Italia
Partita IVA: IT14573500965

Termini e CondizioniInformativa sui Cookie