Privacy Policy — Canopy

Ultimo aggiornamento: 18 aprile 2026

BOZZA TECNICA — DA REVISIONARE LEGALMENTE PRIMA DELLA PUBBLICAZIONE. I campi [XXX] devono essere completati con i dati reali della ditta individuale Canopy.

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è la ditta individuale Canopy, intestata a [NOME COGNOME TITOLARE], con sede legale in [VIA, CITTÀ, CAP], P.IVA [P.IVA], Codice Fiscale [CF].

Per qualunque richiesta relativa al trattamento dei dati personali, l'utente può scrivere a: [email contatto privacy, es. privacy@canopy.it].

2. Cosa è Canopy

Canopy è una piattaforma software (SaaS) che assiste l'utente nella gestione di sfide prop-firm e nell'esecuzione di operazioni di hedging tra il conto della prop firm (PROP) e un proprio conto broker personale (BROKER). Canopy non è un intermediario finanziario, non gestisce fondi dell'utente né esegue operazioni in nome proprio: si limita a inoltrare istruzioni firmate dall'utente verso terminali MetaTrader 5 (MT5) sotto controllo dell'utente stesso.

3. Categorie di dati raccolti

Dato	Finalità	Base giuridica (GDPR)
Email, nome, password (hash)	Creazione e gestione account, autenticazione	Esecuzione del contratto (Art. 6.1.b)
Token agente MT5 (broker, login, server)	Inoltro comandi al terminale MT5 dell'utente	Esecuzione del contratto (Art. 6.1.b)
Storico trade, P&L, equity snapshot	Statistiche e dashboard utente; obblighi anti-riciclaggio e fiscali	Esecuzione del contratto + obbligo legale (Art. 6.1.b/c)
Dati di pagamento (gestiti da Stripe)	Fatturazione abbonamento	Esecuzione del contratto (Art. 6.1.b)
Telegram chat ID (opzionale)	Notifiche bot Telegram	Consenso (Art. 6.1.a) — revocabile in qualsiasi momento
Indirizzo IP, user-agent, log accessi	Sicurezza, prevenzione abusi, debug	Legittimo interesse (Art. 6.1.f)
Email comunicate al supporto / ticket	Risposta a richieste utente	Esecuzione del contratto (Art. 6.1.b)

Canopy NON raccoglie: credenziali bancarie, password MT5 in chiaro (le credenziali MT5 restano sul terminale dell'utente), dati di profilazione comportamentale per finalità pubblicitarie, dati di categorie particolari (Art. 9 GDPR — salute, religione, etc.).

4. Destinatari dei dati

I dati personali possono essere comunicati ai seguenti soggetti, in qualità di responsabili o autonomi titolari:

Stripe Payments Europe Ltd (Irlanda) — gestione pagamenti abbonamento. Privacy: stripe.com/it/privacy
Telegram FZ-LLC (Dubai, UAE) — solo se l'utente collega Telegram. Privacy: telegram.org/privacy
Sentry (Functional Software Inc.) (USA) — error monitoring tecnico. I dati di errore sono anonimizzati. Privacy: sentry.io/privacy
Hetzner Online GmbH (Germania) — hosting server VPS. Privacy: hetzner.com/legal/privacy-policy
Broker MT5 scelti dall'utente (es. FundedNext, TMGM, ecc.) — limitatamente alle istruzioni di trading inoltrate dall'utente al proprio terminale. Canopy non ha rapporti diretti con questi broker.

5. Trasferimenti extra-UE

Eventuali trasferimenti verso paesi terzi (USA per Sentry, Dubai per Telegram) avvengono sulla base di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea o, dove applicabile, decisioni di adeguatezza.

6. Periodo di conservazione

Dato	Conservazione
Dati account attivo (email, password, profilo)	Per tutta la durata dell'abbonamento
Storico trade, payout, ledger eventi	10 anni dalla chiusura account (D.Lgs. 231/2007 antiriciclaggio + obblighi fiscali)
Log accessi, IP	12 mesi
Dati telegram chat ID	Fino a revoca consenso
Hash email post-cancellazione GDPR	Conservato a tempo indeterminato per audit conformità

7. Diritti dell'utente (Art. 15–22 GDPR)

L'utente può esercitare in qualsiasi momento i seguenti diritti:

Accesso ai propri dati (Art. 15)
Rettifica di dati inesatti (Art. 16)
Cancellazione ("diritto all'oblio", Art. 17) — disponibile in self-service tramite l'endpoint DELETE /api/v1/auth/me dalla propria area utente, oppure scrivendo a [email privacy]
Limitazione del trattamento (Art. 18)
Portabilità dei dati (Art. 20) — esportazione storico trade in formato JSON/CSV su richiesta
Opposizione al trattamento (Art. 21)
Revoca consenso in qualsiasi momento (per i dati basati su consenso, es. Telegram)

Le richieste vengono evase entro 30 giorni dalla ricezione (estendibili a 60 in casi complessi con preavviso all'utente).

8. Reclamo all'Autorità di controllo

L'utente ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma — gpdp.it) o all'autorità di controllo dello Stato membro dove risiede.

9. Cookie e tecnologie simili

Canopy utilizza:

Cookie e localStorage tecnici per mantenere la sessione utente (token JWT). Necessari al funzionamento, non richiedono consenso.
NESSUN cookie di profilazione, tracking pubblicitario o analytics di terze parti.

10. Decisioni automatizzate

Canopy non utilizza decisioni automatizzate (Art. 22 GDPR) che producano effetti giuridici sull'utente. Le esecuzioni di trading sono sempre conseguenza di un input esplicito dell'utente (comando manuale, configurazione strategia attivata dall'utente). Le strategie automatiche (es. AutoPilot Gianni) richiedono attivazione esplicita e possono essere disattivate in qualsiasi momento.

11. Sicurezza

Misure tecniche e organizzative adottate:

Connessioni cifrate HTTPS/TLS
Password utente conservate solo come hash bcrypt
Token JWT con scadenza, rotazione periodica della chiave di firma
Backup automatici giornalieri del database con retention 14 giorni
Registro immutabile delle azioni amministrative (audit log) per finalità di accountability
Rate limiting per prevenire attacchi automatizzati
Monitoring errori applicativi via Sentry

12. Modifiche alla presente Privacy Policy

Eventuali aggiornamenti saranno comunicati via email all'indirizzo registrato e pubblicati su questa pagina con data dell'ultima modifica. Per modifiche sostanziali verrà richiesta una nuova accettazione esplicita.