Informativa sulla privacy
Ultimo aggiornamento: 20 maggio 2026
Quali dati raccogliamo
Quando crei un account QMailing, raccogliamo il tuo nome e il tuo indirizzo e-mail (o le informazioni del profilo OAuth da Google, Microsoft, GitHub o Telegram). Non richiediamo un numero di telefono.
Quando usi QMailing, conserviamo le e-mail che invii e ricevi, le configurazioni delle caselle e i dati di utilizzo (spazio occupato, numero di caselle).
Come usiamo le tue informazioni
Usiamo le tue informazioni per:
- Fornire, mantenere e migliorare il servizio QMailing
- Inviare notifiche transazionali (avvisi di sicurezza, ricevute di fatturazione)
- Rilevare e prevenire abusi, frodi e minacce alla sicurezza
- Adempiere agli obblighi di legge
Non leggiamo, scansioniamo o analizziamo il contenuto delle tue e-mail per finalità pubblicitarie.
Conservazione e sicurezza dei dati
I tuoi dati sono conservati su server cifrati all'interno dell'Unione Europea. Usiamo la crittografia TLS per tutti i dati in transito e AES-256 per i dati a riposo.
Servizi di terze parti
Per gestire il servizio ci affidiamo a un piccolo gruppo di fornitori esterni:
- Un processore di pagamenti — gestisce abbonamenti e fatture per i piani a pagamento
- Tracciamento errori — per rilevare e risolvere rapidamente i problemi
Sub-processor
QMailing si appoggia a un piccolo set di fornitori di fiducia per operare il servizio. Ciascuno è vincolato da un DPA (Data Processing Agreement) coerente con l'Articolo 28 del GDPR. La lista completa è sotto; aggiorniamo questa sezione prima di aggiungere o rimuovere un sub-processor.
| Fornitore | Servizio | Ubicazione | DPA |
|---|---|---|---|
| Amazon Web Services | Invio/ricezione mail (SES), object storage (S3), database (RDS PostgreSQL), compute (EC2, Lambda), contatori rate-limit e abuse (DynamoDB). | EU (eu-north-1, Stockholm) | DPA |
| Paddle | Elaborazione pagamenti (merchant of record). Carte, fatture, tasse, rimborsi. | EU / UK | DPA |
| Grafana Labs | Telemetria frontend (Grafana Faro): errori JavaScript, metriche di performance. Senza contenuto delle email. | EU | DPA |
| Cloudflare | Bot challenge (Turnstile) al login. Mitigazione DDoS al network edge. | Global (EU edge) | DPA |
| Solo login OAuth. Non leggiamo mai Gmail, Drive o Contatti. | Global | DPA | |
| Microsoft | Solo login OAuth. Non leggiamo mai Outlook, OneDrive o Calendar. | Global | DPA |
| GitHub | Solo login OAuth. Non leggiamo mai i tuoi repository o dati di organizzazione. | Global | DPA |
| Telegram | Solo login OAuth. Non leggiamo mai le tue chat. | Global | DPA |
Login OAuth
Quando accedi con Google, Microsoft, GitHub o Telegram, il provider restituisce a QMailing un profilo minimo: il tuo indirizzo email, il nome visualizzato e (se disponibile) l'URL dell'avatar. Usiamo questi dati strettamente per creare il tuo account al primo accesso e per il login nelle visite successive.
QMailing non legge né scrive dati nel tuo account Google/Microsoft/GitHub/Telegram oltre l'handshake OAuth stesso. Non richiediamo scope per casella, drive, calendario, repository o contatti. Non ti inviamo marketing tramite questi provider. Non condividiamo dati derivanti da OAuth con terze parti.
Accesso API e integrazioni MCP
QMailing emette token Bearer in stile OAuth (qm_live_*) per l'accesso programmatico via API REST pubblica e server MCP ospitato a https://qmailing.com/mcp. Ogni token riceve gli scope all'emissione (es. mailbox:read, email:send) ed è legato a un singolo account.
Quando un agente IA si connette con un token, QMailing logga i metadati di richiesta — timestamp, nome dello strumento, codice HTTP, tempo di risposta — per 30 giorni per il rilevamento di abusi e la contabilità del rate-limit. I body delle richieste e i risultati degli strumenti NON vengono persistiti nei log. I token sono memorizzati lato server come hash bcrypt; il valore in chiaro viene mostrato esattamente una volta all'emissione.
Puoi revocare qualsiasi token in Impostazioni → Sviluppatori o, per le connessioni concesse via OAuth, in Impostazioni → Connessioni. La revoca è onorata alla richiesta successiva — senza cache.
Cookie
Utilizziamo cookie essenziali per l'autenticazione e la gestione delle sessioni. I cookie analitici sono impostati solo con il tuo consenso esplicito. Puoi gestire le preferenze sui cookie in qualsiasi momento.
I tuoi diritti
Ai sensi del GDPR, hai il diritto di:
- Accedere ai tuoi dati personali
- Esportare i tuoi dati in un formato leggibile da macchina
- Richiedere la cancellazione del tuo account e di tutti i dati associati
- Opporti al trattamento dei dati
Puoi esercitare questi diritti in Impostazioni > Privacy o scrivendoci a privacy@qmailing.com.
Trasferimenti internazionali di dati
QMailing è ospitato nell'Unione Europea (AWS eu-north-1, Stoccolma). La consegna delle email tramite Amazon SES attraversa l'infrastruttura edge di AWS, che può includere strutture al di fuori del SEE a seconda del server di posta del destinatario. Le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea si applicano a qualsiasi trasferimento di dati personali fuori dal SEE. Non trasferiamo dati a giurisdizioni prive di decisione di adeguatezza o garanzie equivalenti.
Conservazione ed eliminazione dei dati
Conserviamo i tuoi dati finché il tuo account è attivo. Quando elimini l'account, una casella o un'e-mail, i dati entrano in una finestra di eliminazione differita di 30 giorni — durante questo periodo puoi ripristinarli (account accedendo di nuovo e annullando l'eliminazione, caselle ed e-mail dal Cestino). Trascorsi i 30 giorni, i dati vengono rimossi definitivamente dai nostri sistemi attivi.
Non conserviamo copie di backup esterne oltre la finestra di eliminazione differita — una volta scaduto il periodo, il recupero non è più possibile.
Notifica di data breach
In caso di violazione di dati personali che possa comportare un rischio per i tuoi diritti e libertà, notificheremo l'autorità di controllo competente entro 72 ore dalla scoperta della violazione, in linea con l'Articolo 33 del GDPR. Se la violazione comporta un rischio ELEVATO, notificheremo gli utenti interessati direttamente senza ingiustificato ritardo, via email all'indirizzo registrato.
Privacy dei minori
QMailing non è destinato né rivolto a minori. Non raccogliamo consapevolmente dati personali di persone sotto i 16 anni nello Spazio Economico Europeo, o sotto i 13 anni negli Stati Uniti. Se ritieni che abbiamo raccolto tali dati inavvertitamente, contattaci e li elimineremo senza ingiustificato ritardo.
Titolare del trattamento
Il titolare del trattamento per QMailing è Bohdan Abramovych, persona fisica residente a Kyiv, Ucraina. Per qualsiasi domanda relativa alla privacy, esercizio dei diritti GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) o reclamo, scrivi a privacy@qmailing.com.
Contatti
Per domande sulla privacy, scrivici a privacy@qmailing.com.