Privacy Policy

Per esercitare i diritti di cui al §7 o per qualunque richiesta in materia di protezione dei dati, il canale ufficiale è il form di contatto del sito. Non pubblichiamo indirizzi email ordinari per evitare spam automatico; le comunicazioni via form vengono incanalate internamente al referente competente entro 48 ore lavorative.

non ha nominato un Responsabile della protezione dei dati (DPO) poiché non ricorrono le condizioni di obbligatorietà previste dall'art. 37 GDPR (nessuna attività principale di monitoraggio sistematico su larga scala né trattamento di dati particolari ex art. 9 su larga scala).

Le richieste privacy degli interessati sono gestite direttamente dal titolare attraverso il form di contatto del sito.

Trattiamo le seguenti categorie di dati:

• Form di contatto / richiesta preventivo: nome, cognome, indirizzo email, ragione sociale (facoltativa), settore di attività, messaggio libero, sorgente della richiesta.
• Chatbot AI: conversazione testuale, indirizzo IP (subordinato al consenso cookie), timestamp dei messaggi. Retention massima 90 giorni, poi anonimizzazione o cancellazione.
• Analytics e statistiche di navigazione: indirizzo IP anonimizzato, tipo di dispositivo e browser, pagine visitate, durata della sessione, referrer. Raccolta attivata solo previo consenso cookie (vedi Cookie Policy).
• Dati fiscali e contabili (solo clienti): ragione sociale, partita IVA, codice fiscale, indirizzo di fatturazione, dati di pagamento. Gestiti tramite provider esterni certificati (Stripe, PayPal); nulla di sensibile rimane sui nostri server.

Le basi giuridiche del trattamento sono:

• Rispondere alle richieste commerciali e fornire il servizio: esecuzione di misure precontrattuali e contrattuali (art. 6.1.b GDPR).
• Analisi del comportamento di navigazione aggregato via analytics: consenso dell'interessato (art. 6.1.a GDPR), revocabile in qualsiasi momento dalle preferenze cookie.
• Adempimenti fiscali, contabili e di fatturazione per i clienti: obbligo di legge (art. 6.1.c GDPR, art. 2220 c.c.).
• Difesa in giudizio e gestione di reclami: legittimo interesse del titolare (art. 6.1.f GDPR).

I dati personali sono accessibili a:

• e dipendenti/collaboratori autorizzati, specificamente istruiti ai sensi dell'art. 29 GDPR.
• Fornitori tecnici esterni nominati Responsabili del trattamento ex art. 28 GDPR:
  • Amazon Web Services EMEA SARL — infrastruttura email transazionali (SES), region eu-south-1 (Milano). Dati processati esclusivamente all'interno dell'Unione Europea.
  • Odoo SA (Belgio) — piattaforma cloud CRM per la gestione dei lead e dei clienti. Hosting EU.
  • Anthropic PBC — elaborazione dei messaggi del chatbot AI. Endpoint EU attivato dove disponibile; trasferimenti extra-UE regolati da clausole contrattuali standard (SCC) della Commissione Europea.
  • IONOS SE — hosting del server applicativo (VPS), region Italia.
  • Google Ireland Limited — Google Analytics 4, attivato solo previo consenso cookie.
• Team operativo extra-UE: una parte delle lavorazioni tecniche di progetto è eseguita da collaboratori basati in India. Questo team lavora esclusivamente su asset progettuali (codice, design, contenuti editoriali) e non ha accesso ai dati personali di lead e clienti: non gli vengono mai inoltrate email, richieste di contatto, conversazioni chatbot o dati di fatturazione.

Per i dati personali di lead e clientinon sono effettuati trasferimenti extra-UE: lo storage CRM (Odoo), le email transazionali (AWS SES eu-south-1) e l'hosting (IONOS Italia) sono tutti all'interno dello Spazio Economico Europeo.

L'unico trattamento che può temporaneamente comportare trasferimento extra-UE è l'elaborazione delle conversazioni chatbot tramite Anthropic PBC (USA) quando l'endpoint EU non è applicabile: in tal caso il trasferimento è regolato da Standard Contractual Clauses (SCC) della Commissione Europea e da ulteriori misure tecniche adeguate.

• Lead da form contatto non convertiti:24 mesi dall'ultimo contatto, poi cancellazione automatica.
• Clienti attivi: durata del rapporto + 10 anni dalla cessazione (obblighi conservazione documentale ex art. 2220 c.c. e normativa fiscale).
• Conversazioni chatbot: 90 giorni, poi anonimizzazione o cancellazione.
• Dati Google Analytics 4: 14 mesi (configurazione standard GA4), con IP anonimizzato.
• Log di sicurezza server: 12 mesi, ai sensi del provvedimento del Garante in materia di amministratori di sistema (27 novembre 2008).

Ai sensi degli artt. 15-22 del GDPR hai il diritto di:

• Accedere ai tuoi dati personali (art. 15).
• Ottenere la rettifica dei dati inesatti (art. 16).
• Richiedere la cancellazione("diritto all'oblio", art. 17).
• Limitare il trattamento (art. 18).
• Ricevere i dati in formato portabile (art. 20).
• Opporti al trattamento (art. 21).
• Non essere sottoposto a decisioni automatizzate con effetti legali (art. 22).

Per esercitare questi diritti invia la richiesta via form di contatto specificando l'oggetto (es. "esercizio diritti art. 15 GDPR"). Rispondiamo entro 30 giorni, gratuitamente salvo richieste manifestamente infondate o eccessive.