Privacy Policy

CalFuse è un servizio fornito da XSEVEN SRLS. Per richieste relative alla privacy puoi scrivere a [email protected]. Per supporto operativo puoi usare [email protected].

Questa informativa descrive come trattiamo i dati necessari a creare un account, collegare provider calendario e sincronizzare gli eventi secondo le impostazioni scelte dall'utente.

Trattiamo dati di account come email, identificativo utente, ruolo, piano, stato dell'account e preferenze di sincronizzazione.

Quando colleghi Google Calendar, Microsoft Outlook o Apple Calendar, trattiamo token OAuth o credenziali CalDAV cifrate, email dell'account collegato, identificativi dei calendari, metadati dei calendari e gli eventi necessari alla sincronizzazione.

Per il login via email trattiamo l'indirizzo email e token temporanei monouso per il magic link. I token sono salvati in forma hash e scadono dopo un breve periodo.

Usiamo cookie tecnici per sessione autenticata e preferenza lingua. L'elenco aggiornato è disponibile nella Cookie Policy.

Trattiamo inoltre log tecnici, eventi di audit, stato code, webhook subscription e dati di diagnostica necessari a sicurezza, prevenzione abusi e troubleshooting.

Usiamo i dati per creare e gestire l'account, autenticare l'utente, collegare calendari autorizzati, eseguire la sincronizzazione, prevenire loop e duplicati, applicare filtri/privacy scelti dall'utente e mostrare lo stato del servizio.

Usiamo dati tecnici e log per monitorare errori, rinnovare subscription webhook, proteggere l'applicazione, prevenire abusi e migliorare l'affidabilità della piattaforma.

Il trattamento necessario all'erogazione del servizio si basa sull'esecuzione del contratto o di misure precontrattuali richieste dall'utente.

Il collegamento ai provider calendario avviene tramite autorizzazione OAuth dell'utente per Google/Microsoft o tramite credenziali Apple specifiche per app per iCloud/CalDAV. La sicurezza, prevenzione frodi, diagnostica e conservazione di log essenziali si basano sul legittimo interesse del titolare. Eventuali obblighi contabili o legali si basano sull'adempimento di obblighi di legge.

I token OAuth e le credenziali Apple specifiche per app sono cifrati a riposo e non vengono esposti nelle risposte API o nell'interfaccia. Vengono usati solo per leggere e scrivere sui calendari autorizzati dall'utente.

Per Apple Calendar CalFuse non conserva la password principale dell'Apple ID e non deve riceverla: l'utente deve generare una password specifica per app dal proprio account Apple. CalFuse può cancellare tale credenziale dai propri sistemi, ma la revoca effettiva avviene dal pannello Apple ID dell'utente.

Il contenuto degli eventi viene trattato in base alle opzioni di SyncLink: puoi scegliere quali campi copiare, se marcare gli eventi come privati, se sostituire il titolo, se filtrare eventi liberi o non accettati e se applicare colori/tag.

CalFuse usa le API Google solo per autenticare l'utente con Google, collegare Google Calendar, leggere calendari ed eventi autorizzati, creare o aggiornare eventi richiesti dalle SyncLink, gestire webhook/subscription e mantenere lo stato di sincronizzazione. Richiediamo solo gli scope necessari alle funzionalità mostrate nell'interfaccia.

L'uso e il trasferimento da parte di CalFuse delle informazioni ricevute dalle API Google avvengono nel rispetto della Google API Services User Data Policy, inclusi i requisiti di Limited Use. Non vendiamo dati Google, non li usiamo per pubblicità, retargeting, profilazione commerciale, scoring creditizio o addestramento di modelli AI generali.

CalFuse usa Microsoft Graph solo per autenticare l'utente Microsoft, collegare calendari Outlook/Microsoft 365 autorizzati, leggere e scrivere eventi secondo le impostazioni dell'utente, gestire subscription/change notifications e mantenere la sincronizzazione. I dati Microsoft non sono venduti né usati per finalità pubblicitarie o profilazione commerciale.

Per Apple/iCloud CalFuse usa CalDAV con credenziali specifiche per app fornite dall'utente. Non chiediamo né conserviamo la password principale dell'Apple Account. L'utente può revocare la password specifica dal proprio account Apple; dopo la revoca CalFuse non potrà più accedere ai calendari Apple finché non viene fornita una nuova credenziale valida.

I dati ricevuti dai provider calendario sono trasferiti solo quando necessario per fornire la sincronizzazione richiesta dall'utente, verso l'infrastruttura tecnica usata da CalFuse, verso altri calendari scelti dall'utente come destinazione SyncLink, oppure quando richiesto dalla legge. L'accesso umano ai dati è limitato a casi necessari di supporto, sicurezza, troubleshooting o obbligo legale.

Conserviamo i dati dell'account finché l'account rimane attivo o finché sono necessari per erogare il servizio. I token OAuth e le credenziali Apple specifiche per app vengono conservati finché l'account calendario resta collegato o finché l'utente non lo disconnette/elimina.

I dati tecnici e i log vengono conservati per un periodo limitato, proporzionato a sicurezza, diagnostica e continuità operativa. I token magic link sono temporanei e monouso.

I backup del database sono cifrati prima del caricamento su Google Cloud Storage in Europa/Francoforte. Per l'MVP la retention rolling è di 30 giorni in produzione e 7 giorni in testing; il bucket applica inoltre soft delete per 7 giorni, quindi la permanenza effettiva massima stimata è fino a 37 giorni in produzione e 14 giorni in testing. Dopo una cancellazione account, eventuali copie residue nei backup vengono eliminate alla scadenza della retention.

I backup sono usati solo per disaster recovery o test di restore autorizzati, non per consultare puntualmente dati utente.

Possiamo usare fornitori infrastrutturali, email provider, registry/container hosting, servizi di monitoraggio, storage backup e i provider calendario autorizzati dall'utente, in particolare Google, Microsoft, Apple/iCloud, Cloudflare, Mailgun e Google Cloud Storage per l'MVP.

CalFuse è progettato per operare con attenzione al contesto europeo. Alcuni fornitori terzi possono trattare dati anche fuori dallo Spazio Economico Europeo secondo le proprie condizioni e garanzie contrattuali.

Puoi richiedere accesso, rettifica, cancellazione, limitazione, portabilità e opposizione nei casi previsti dalla normativa applicabile. Puoi anche disconnettere un account calendario o richiederne l'eliminazione definitiva dall'applicazione.

La cancellazione da CalFuse non elimina automaticamente gli eventi già presenti nei calendari di destinazione: restano sotto il controllo dell'utente e del provider calendario.

Applichiamo misure tecniche e organizzative proporzionate, tra cui HTTPS/TLS, cookie httpOnly per la sessione, cifratura dei token OAuth, segregazione dei segreti e controlli di accesso per le aree amministrative.

Nessun sistema è immune da rischi. In caso di incidente rilevante, adotteremo le misure richieste dalla normativa applicabile.

Questa informativa può essere aggiornata quando cambiano funzionalità, provider, infrastruttura o obblighi normativi. La versione corrente indica sempre la data di ultimo aggiornamento.