Dichiarazione GDPR
Data di entrata in vigore: 29 giugno 2026 · Ultimo aggiornamento: 30 giugno 2026
Zeptun Intelligence Limited (Hong Kong SAR) ("noi", "ci" o "nostro") gestisce la piattaforma di posta Unbox all'indirizzo unbox.im e si impegna a proteggere i dati personali in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE e leggi simili. Questa pagina riassume come gestiamo i dati per i clienti nello Spazio Economico Europeo (SEE), Regno Unito e Svizzera. Integra la nostra Informativa sulla privacy e i Termini di servizio.
Chi siamo
Zeptun Intelligence Limited (Hong Kong SAR) è il titolare del trattamento dei dati personali elaborati tramite Unbox su unbox.im. Per richieste relative alla protezione dei dati, contatta privacy@unbox.im.
Cos'è Unbox (e cosa non è)
Unbox è una piattaforma di posta transazionale e casella di dominio. Ti aiutiamo a inviare e gestire email importanti — codici di verifica, reimpostazione password, aggiornamenti ordini e notifiche di team sui tuoi domini.
Non forniamo servizi di marketing o newsletter. Le nostre API HTTP e percorsi di invio SMTP sono limitati esclusivamente alla posta transazionale. Questa scelta di prodotto riduce la complessità del consenso marketing GDPR: non inviamo campagne promozionali per tuo conto e non richiediamo consenso marketing o flussi di annullamento iscrizione per la posta della piattaforma.
API in uscita e SMTP — solo transazionale
The Unbox HTTP API (POST /v1/email) and optional SMTP submission must be used for transactional messages only — for example password resets, receipts, security alerts, and team notifications tied to a specific event. Marketing newsletters, promotional bulk sends, and cold outreach are prohibited.
Esempi consentiti
- Verifica account, reimpostazione password e avvisi di sicurezza
- Conferme d'ordine, ricevute, aggiornamenti spedizione e notifiche di pagamento
- Notifiche attivate da un evento utente o di sistema specifico
- Messaggi di team e workspace (inviti, assegnazioni, avvisi interni)
Esempi vietati
- Newsletter, campagne promozionali o marketing broadcast
- Contatti a freddo o invio a liste acquistate, estratte o senza consenso
- Spam affiliato, phishing o contenuti ingannevoli
- Qualsiasi tentativo di eludere i limiti di destinatari, frequenza o quote del piano
Limiti di frequenza e destinatari (policy)
Per prevenire il marketing di massa di fatto pur consentendo normali notifiche di team, il traffico API in uscita e SMTP è soggetto ai limiti seguenti oltre ai limiti del piano. I limiti vengono applicati automaticamente e si applicano per workspace (proprietario e membri del team condividono un pool giornaliero di destinatari unici, che si azzera a mezzanotte UTC):
- Destinatari per messaggio: Fino a 50 totali (A + Ccn + Bcc combinati)
- Destinatari unici al giorno: Fino a 1.000 per workspace
- Frequenza richieste di invio: Fino a 10 invii API o SMTP al minuto per dominio
- Quota di invio del piano: I limiti mensili di invio del tuo abbonamento rimangono validi
Queste regole fanno parte della nostra Politica di utilizzo accettabile. L'applicazione automatica è attiva sul compositore web, sull'API HTTP e sull'invio SMTP. Gli account che inviano email di marketing o di massa, o che abusano dell'infrastruttura di invio, potrebbero essere limitati, sospesi o terminati.
Monitoriamo i segnali di consegna. Tassi di rimbalzo superiori al 3% o tassi di reclamo superiori allo 0,1% possono attivare una pausa temporanea degli invii o una revisione manuale.
Queste regole sono anche indicate nei nostri Termini di Servizio.
Basi giuridiche per il trattamento
- Contratto — per fornire hosting, DNS, casella, invio API, fatturazione e supporto per cui ti sei registrato.
- Interessi legittimi — sicurezza, prevenzione degli abusi, monitoraggio della consegna e miglioramento del prodotto, bilanciati con i tuoi diritti.
- Consenso — dove richiesto, come funzionalità AI opzionali che inviano contenuti a provider di modelli cloud, o connessione di account di posta di terze parti.
- Obbligo legale — tasse, fatturazione e richieste legittime da parte delle autorità.
Cosa già facciamo
- Registrazione verificata — i nuovi account devono confermare l'email (codice monouso o magic link) prima di accedere.
- Crittografia — TLS per i dati in transito; credenziali e token sensibili crittografati a riposo; chiavi API memorizzate con hash.
- Minimizzazione dei dati — i log di consegna in uscita memorizzano solo metadati (nessun corpo del messaggio). Le anteprime degli account esterni scadono dopo sette giorni. I log di consegna vengono eliminati con un breve periodo di conservazione (default 14 giorni).
- Conservazione controllata dall'utente — cestino, quarantena spam e flussi di eliminazione permanente; scegli per quanto tempo conservare la posta eliminata prima della cancellazione.
- Autenticazione DNS — ti guidiamo nella configurazione SPF, DKIM e DMARC e blocchiamo l'invio fino a quando il tuo dominio non è verificato.
- Responsabilità dell'operatore — le azioni del personale della piattaforma nella nostra console di amministrazione vengono registrate nei log di audit; le modifiche all'appartenenza al team sono registrate nel feed di attività del workspace.
- Nessuna vendita di dati personali — non vendiamo le tue informazioni a inserzionisti o intermediari di dati.
Sub-responsabili
Utilizziamo partner di infrastruttura affidabili per gestire Unbox. Elaborano i dati solo secondo le nostre istruzioni e garanzie contrattuali:
- Vercel — hosting di applicazioni web e funzioni serverless
- Neon — database PostgreSQL
- Upstash — Redis (code e limitazione di frequenza)
- Vercel Blob — archiviazione di allegati e blob di messaggi
- Amazon Web Services (SES) — consegna email in entrata e in uscita
- Stripe — fatturazione abbonamenti e fatture
- OpenRouter — inferenza AI cloud quando utilizzi funzionalità AI che richiedono modelli remoti
Un elenco aggiornato è mantenuto nella nostra Informativa sulla Privacy. I clienti business che necessitano di un Accordo per il Trattamento dei Dati (DPA) firmato possono richiederlo a privacy@unbox.im.
Trasferimenti internazionali
Unbox opera principalmente da Singapore, con infrastruttura in AWS ap-southeast-1 e posizioni edge globali utilizzate dai nostri provider di hosting. Quando i dati personali vengono trasferiti al di fuori del SEE, ci affidiamo a garanzie adeguate come le Clausole Contrattuali Standard e i DPA dei fornitori. Stiamo pianificando opzioni di archiviazione nella regione UE per i clienti che richiedono la residenza dei dati nell'UE.
I tuoi diritti ai sensi del GDPR
Se il GDPR si applica a te, potresti avere il diritto di:
- Accedere ai dati personali che conserviamo su di te
- Correggere dati inaccurati
- Esportare i tuoi dati in un formato portabile
- Cancellare i tuoi dati ("diritto all'oblio")
- Limitare o opporti a determinati trattamenti
- Revocare il consenso quando il trattamento si basa sul consenso
- Presentare un reclamo alla tua autorità di controllo locale
Come esercitare i tuoi diritti oggi: invia un'email a privacy@unbox.im dal tuo indirizzo registrato. Rispondiamo entro un mese. L'esportazione self-service e l'eliminazione dell'account in Impostazioni sono nella nostra roadmap — vedi sotto.
IA e la tua posta
Quando utilizzi le funzionalità IA, il contenuto dei messaggi pertinenti potrebbe essere inviato ai provider IA per riepilogo, classificazione o bozza. Riduciamo al minimo ciò che viene inviato e non utilizziamo la tua posta per addestrare modelli pubblici. I clienti business potranno limitare l'elaborazione IA nel cloud nelle impostazioni dell'account; fino a quando questa opzione non sarà disponibile, contattaci per rinunciare all'inferenza cloud.
Sicurezza e violazioni
Manteniamo misure tecniche e organizzative tra cui controlli di accesso, crittografia, supporto MFA/chiave di accesso e procedure di risposta agli incidenti. Se una violazione dei dati personali comporta un rischio per i tuoi diritti, informeremo gli utenti interessati e le autorità di regolamentazione come richiesto dalla legge.
Miglioramenti pianificati
Stiamo lavorando attivamente per rafforzare la conformità al GDPR, tra cui:
- Esportazione self-service dei dati ed eliminazione dell'account in Impostazioni
- Registrazioni di consenso memorizzate alla registrazione con tracciamento della versione della policy
- Limiti di invio in uscita che prevengono l'abuso di marketing di massa consentendo al contempo le normali notifiche del team (vedi sopra)
- Trasparenza estesa dei sub-processori e modelli DPA per i clienti
- Residenza dati UE opzionale
Contatti
Richiesta protezione dati: privacy@unbox.im
Supporto generale: hello@unbox.im