Informativa sulla Privacy
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
Nicolae Guglea
Email: privacy@njjtrader.com
Per qualsiasi richiesta relativa al trattamento dei tuoi dati personali puoi scrivere a privacy@njjtrader.com.
Responsabile della Protezione dei Dati (DPO): non è stato designato un DPO in quanto non ricorrono i presupposti obbligatori di cui all'art. 37 GDPR (NJJTrader non è un'autorità pubblica, non effettua trattamenti su larga scala di categorie particolari di dati né monitoraggio sistematico di interessati).
2. Tipi di dati raccolti
2.1 Dati di registrazione
- Nome: fornito volontariamente in fase di registrazione.
- Indirizzo email: utilizzato per autenticazione, comunicazioni di servizio e notifiche.
- Password: mai archiviata in chiaro. Viene salvato esclusivamente un hash irreversibile con algoritmo bcrypt (cost factor ≥ 12).
2.2 Dati di trading (Contenuti dell'Utente)
- Operazioni di trading importate o inserite manualmente (simbolo, data, quantità, prezzo, P&L, commissioni, ecc.)
- Voci di diario (note, commenti sulle sessioni)
- Screenshot allegati alle operazioni
- Tag e categorie personalizzati
- Statistiche e aggregazioni calcolate a partire dai dati di trading
2.3 Dati tecnici
- Indirizzo IP
- User agent del browser
- Log di accesso e autenticazione (timestamp, esito)
- Cookie di sessione e CSRF (v. Cookie Policy)
2.4 Chiavi API broker
Le chiavi API del broker (es. TradeZero) che l'Utente inserisce per abilitare l'importazione automatica dei trade sono protette con cifratura AES-256-GCM a riposo. La chiave di cifratura è gestita tramite variabili d'ambiente sicure e non è accessibile né visibile all'amministratore della piattaforma. Nessuna persona fisica ha accesso in chiaro alle chiavi API degli utenti.
3. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogazione del Servizio (autenticazione, salvataggio dati, importazione trade) | Esecuzione del contratto — art. 6.1.b |
| Invio email transazionali (conferma email, reset password, notifiche account) | Esecuzione del contratto — art. 6.1.b |
| Adempimento di obblighi di legge (es. risposta a richieste dell'autorità) | Obbligo legale — art. 6.1.c |
| Sicurezza del Servizio, prevenzione abusi e frodi, log di accesso | Legittimo interesse — art. 6.1.f |
| Analytics anonimizzati sulle performance del Servizio (Vercel Analytics) | Consenso — art. 6.1.a |
4. Modalità del trattamento e misure di sicurezza
I dati personali sono trattati con strumenti elettronici. Le principali misure di sicurezza tecniche e organizzative adottate includono:
- Password: hash bcrypt con cost factor elevato, mai archiviate in chiaro.
- Chiavi API broker: cifratura AES-256-GCM a riposo, con chiave in variabile d'ambiente isolata.
- Comunicazioni: HTTPS/TLS su tutti i canali di trasmissione dati.
- Protezione account: rate limiting sugli endpoint di autenticazione (max 10 tentativi / 15 min per IP), token CSRF, cookie HttpOnly e Secure.
- Log di accesso: registrazione degli accessi per il rilevamento di attività anomale.
- Accesso ai dati: accesso al database limitato al solo personale tecnico strettamente necessario, con controlli di accesso basati sui ruoli.
5. Violazioni dei dati personali (Data Breach)
In caso di violazione dei dati personali (data breach) che comporti un rischio per i diritti e le libertà degli interessati, NJJTrader notificherà l'evento al Garante per la protezione dei dati personali entro 72 ore dalla scoperta, ai sensi dell'art. 33 GDPR. Qualora la violazione comporti un rischio elevato, sarà data comunicazione anche agli Utenti interessati senza ingiustificato ritardo, ai sensi dell'art. 34 GDPR.
6. Periodo di conservazione
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati di registrazione e Contenuti dell'Utente | Per tutta la durata dell'Account + 30 giorni di grace period post-cancellazione, poi eliminazione definitiva |
| Log tecnici (accessi, autenticazione) | 12 mesi, poi eliminazione automatica |
| Email transazionali (log di invio) | 30 giorni (provider Resend), poi eliminazione automatica |
| Dati analytics anonimizzati | Dati aggregati e anonimi, senza limite di conservazione |
7. Destinatari e sub-responsabili del trattamento
Per l'erogazione del Servizio, NJJTrader si avvale dei seguenti fornitori terzi (“sub-responsabili”). Ciascuno di essi tratta i dati esclusivamente per le finalità indicate e nel rispetto di accordi sul trattamento dei dati (DPA).
| Fornitore | Servizio | Sede | Garanzie trasferimento extra-UE |
|---|---|---|---|
| Vercel Inc. | Hosting applicazione web | USA (regione Frankfurt, EU) | SCC + DPA + EU-US DPF |
| Neon Tech Inc. | Database PostgreSQL | USA (regione Frankfurt, EU) | SCC + DPA |
| Cloudflare Inc. | DNS, CDN e storage R2 (screenshot) | USA | SCC + DPA + EU-US DPF |
| Resend Inc. | Email transazionali | USA | SCC + DPA |
| Upstash Inc. | Rate limiting (Redis) | USA (regione EU disponibile) | SCC + DPA |
| cron-job.org | Job schedulati (trigger cron) | DE (Germania, UE) | Sede UE — no trasferimento extra-UE |
Nota sui trasferimenti extra-UE: i provider con sede negli USA trattano i dati in data center europei (Francoforte) ove possibile. Per i trasferimenti fuori UE è garantita un'adeguata protezione attraverso:
- Le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea ai sensi dell'art. 46 GDPR;
- Ove applicabile, il EU-US Data Privacy Framework (DPF) ai sensi della Decisione di adeguatezza della Commissione Europea del 10 luglio 2023 (es. Vercel Inc. e Cloudflare Inc. sono organizzazioni certificate DPF).
8. Diritti dell'interessato (artt. 15-22 GDPR)
In qualità di interessato, hai il diritto di:
- Accesso (art. 15): ottenere conferma del trattamento e una copia dei tuoi dati personali.
- Rettifica (art. 16): correggere dati inesatti o completare dati incompleti.
- Cancellazione (art. 17): ottenere la cancellazione dei tuoi dati (“diritto all'oblio”) nei casi previsti dal GDPR.
- Limitazione (art. 18): limitare il trattamento dei tuoi dati in determinate circostanze.
- Portabilità (art. 20): ricevere i tuoi dati in formato strutturato e leggibile da macchina, e trasmetterli a un altro titolare.
- Opposizione (art. 21): opporti al trattamento fondato sul legittimo interesse.
- Revoca del consenso: revocare il consenso prestato (per analytics) in qualsiasi momento, senza pregiudizio della liceità del trattamento precedente.
- Reclamo al Garante: proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).
9. Profilazione e decisioni automatizzate
NJJTrader non effettua attività di profilazione né processi decisionali automatizzati che producano effetti giuridici sull'Utente o che incidano in modo significativo sulla sua persona, ai sensi dell'art. 22 GDPR. Le statistiche e i grafici visualizzati nel Servizio sono calcolati esclusivamente sui dati di trading dell'Utente stesso e visualizzati solo a lui.
10. Modalità di esercizio dei diritti
Puoi esercitare i tuoi diritti in due modi:
- Via email: invia una richiesta a privacy@njjtrader.com. Risponderemo entro 30 giorni dalla ricezione.
- Tramite l'applicazione: per la cancellazione dell'Account e di tutti i dati associati, accedi alla sezione Impostazioni → Eliminazione Account (“Danger Zone”). Dovrai digitare la tua email come conferma. Dalla richiesta partirà un periodo di grazia di 30 giorni durante i quali potrai annullare l'operazione semplicemente effettuando il login. Trascorso questo periodo, una procedura automatica eliminerà definitivamente il tuo Account e tutti i dati associati (trade, journal, screenshot, tag, integrazioni broker e relative chiavi API cifrate). Riceverai due email di conferma: una alla richiesta e una all'avvenuta eliminazione.
11. Cookie
Per informazioni dettagliate sull'uso dei cookie e degli identificatori di tracciamento, consulta la nostra Cookie Policy.
12. Comunicazioni commerciali
NJJTrader non invia comunicazioni di marketing diretto né newsletter promozionali. Le uniche email inviate sono di natura transazionale (conferma registrazione, reset password, notifiche relative all'Account, comunicazioni sulla cancellazione). Qualora in futuro venissero introdotte comunicazioni di marketing, sarà richiesto un consenso separato e specifico, revocabile in qualsiasi momento.
13. Modifiche all'informativa
La presente Informativa può essere aggiornata per recepire modifiche normative, tecnologiche o operative. In caso di modifiche sostanziali, l'Utente sarà notificato via email con un preavviso di almeno 14 giorni prima dell'entrata in vigore.
La versione aggiornata sarà sempre disponibile a questo indirizzo con l'indicazione della data dell'ultimo aggiornamento.
14. Data di ultimo aggiornamento
La presente Informativa è stata aggiornata il 21 maggio 2026.