Informativa sulla Privacy

Ultimo aggiornamento: 4 aprile 2026  ·  In vigore dal: 4 aprile 2026

CaseStories ("noi", "nostro") è gestito da Vento Digitale di Marco Forlani (P.IVA IT03694090139), Italia. Questa informativa spiega come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali in piena conformità con il Regolamento UE 2016/679 (GDPR), il Codice Privacy italiano (D.Lgs. 196/2003 come modificato), il UK GDPR e le altre normative applicabili.

1. Titolare del Trattamento e Recapiti

Il Titolare del Trattamento dei tuoi dati personali è:

Responsabile della Protezione dei Dati (DPO)

Ai sensi dell'Art. 37 GDPR, il DPO è obbligatorio per enti pubblici, organizzazioni che effettuano monitoraggio sistematico su larga scala o che trattano categorie particolari di dati su larga scala. Vento Digitale di Marco Forlani è un operatore privato di piccole dimensioni che non effettua monitoraggio sistematico su larga scala e non tratta categorie particolari di dati personali (Art. 9). Pertanto, la nomina di un DPO non è obbligatoria. Tutte le questioni relative alla privacy sono gestite direttamente e tempestivamente dal Titolare ai recapiti indicati.

2. Dati che Raccogliamo

2.1 Dati Account

Quando ti registri, raccogliamo:

  • Indirizzo email (obbligatorio — identificativo account)
  • Nome e cognome (obbligatori)
  • Password — salvata come hash non reversibile (Argon2id). Non siamo in grado di recuperare la tua password.
  • Nome azienda, descrizione, sito web, città, paese, settore, telefono (facoltativi)
  • Logo aziendale (immagine, facoltativo)
  • Lingua dell'interfaccia preferita

2.2 Dati dei Contenuti

Tutti i casi studio, le descrizioni di progetto, i file media (immagini, video) e i messaggi diretti che crei o invii tramite la piattaforma vengono salvati e associati al tuo account.

2.3 Analytics di Prima Parte

Utilizziamo analytics di prima parte per comprendere l'utilizzo della piattaforma. Raccogliamo:

  • IP in forma hash — il tuo IP viene immediatamente sottoposto a hash (SHA-256 + salt); l'IP grezzo non viene mai conservato né può essere recuperato. L'hash viene conservato per un massimo di 24 mesi ed è tecnicamente irreversibile.
  • Pagine visitate e timestamp
  • Tipo di browser e OS (stringa User-Agent)
  • URL di provenienza
  • Paese (derivato dall'IP al momento della raccolta; IP grezzo immediatamente eliminato)

Non utilizziamo Google Analytics, Meta Pixel, script di tracciamento di terze parti sulla piattaforma né nelle nostre email.

2.4 Dati di Pagamento

Il pagamento è gestito interamente da Paddle, che agisce come Merchant of Record ed è un titolare del trattamento autonomo per i dati di pagamento. Non salviamo numeri di carta di credito, codici CVV o dati bancari. Riceviamo e salviamo solo il customer ID, l'ID abbonamento, l'ID transazione e lo stato del pagamento forniti da Paddle.

2.5 Contenuti Generati dall'IA

Quando utilizzi le funzioni di scrittura o traduzione AI, il testo del progetto che fornisci (sfide, soluzioni, risultati) viene trasmesso all'API di Anthropic. Non trasmettiamo identificatori personali (nome, email, nome azienda) ad Anthropic. Il testo viene elaborato in modo transitorio e non viene usato per addestrare i modelli di Anthropic ai sensi del nostro Accordo sul Trattamento dei Dati API.

2.6 Dati di Accesso OAuth

Se accedi tramite Google, LinkedIn o Facebook, riceviamo solo l'indirizzo email e il nome visualizzato forniti dal provider OAuth. Salviamo il nome del provider e il suo ID utente per abilitare i futuri accessi. Non riceviamo né salviamo token OAuth, password o altri dati oltre a quelli sopra indicati.

2.7 Metadati Email Transazionali

Quando ti inviamo email transazionali (verifica account, reset password, ricevute abbonamento), trattiamo il tuo indirizzo email e lo stato di consegna. Non inseriamo pixel di tracciamento o link con tracciamento dei click nelle nostre email.

3. Come Utilizziamo i Tuoi Dati

  • Erogazione del servizio: Creazione e gestione del tuo account, pubblicazione di case study, elaborazione dei pagamenti, scrittura e traduzione assistita dall'IA.
  • Miglioramento del servizio: Analisi di pattern di utilizzo aggregati e anonimi per stabilire le priorità delle funzionalità.
  • Comunicazione: Invio di email transazionali (verifica account, reset password, ricevute, avvisi). Non inviamo email di marketing senza consenso esplicito e preventivo.
  • Sicurezza: Rilevamento e prevenzione degli accessi fraudolenti, rate limiting, prevenzione degli abusi.
  • Conformità legale e contabilità: Conservazione dei documenti di fatturazione come richiesto dalla normativa IVA e contabile UE e italiana.
  • Comunicazione alle autorità pubbliche: Ove richiesto dalla legge applicabile, da un ordine del tribunale o da una richiesta vincolante di un'autorità competente, potremo comunicare dati personali alle forze di polizia o agli organi di vigilanza. Ti informeremo salvo divieto di legge.
  • Supporto: Risposta alle tue richieste e risoluzione delle controversie.

Non vendiamo, affittiamo, cediamo né commercializziamo in alcun modo i tuoi dati personali a terzi. Non li utilizziamo per pubblicità mirata né li condividiamo con data broker.

4. Basi Giuridiche del Trattamento (Art. 6 GDPR)

  • Esecuzione contrattuale (Art. 6(1)(b)): Trattamento necessario per erogare il servizio sottoscritto — gestione account, pubblicazione case study, pagamenti, scrittura AI.
  • Legittimo interesse (Art. 6(1)(f)): Monitoraggio della sicurezza, prevenzione delle frodi e analytics di prima parte per migliorare la piattaforma. Abbiamo condotto una valutazione del legittimo interesse (LIA): il nostro interesse a mantenere sicura la piattaforma e a migliorarne le funzionalità è bilanciato con gli interessi degli interessati; utilizziamo tecniche di tutela della privacy (hashing IP, anonimizzazione) per ridurre al minimo l'impatto. Puoi opporti in qualsiasi momento (v. §8).
  • Obbligo legale (Art. 6(1)(c)): Conservazione dei documenti di fatturazione come richiesto dalla normativa IVA e contabile UE e italiana (10 anni).
  • Consenso (Art. 6(1)(a)): Attualmente nessun trattamento basato sul consenso oltre alla registrazione (confermata con verifica email). Le funzionalità opzionali future (es. email di marketing) saranno opt-in, con il diritto di revocare il consenso in qualsiasi momento senza conseguenze.

5. Responsabili Terzi del Trattamento e Fornitori di Servizi

5.1 Paddle (Pagamenti — Titolare Autonomo)

Paddle.com Market Ltd (UK / Irlanda). Agisce come Merchant of Record per tutte le transazioni — ciò significa che Paddle è un titolare del trattamento autonomo per i dati di pagamento, non un nostro sub-responsabile. Gestisce i pagamenti con carta in conformità PCI-DSS secondo la propria privacy policy: paddle.com/legal/privacy. Noi riceviamo solo i metadati non sensibili elencati al §2.4.

5.2 Anthropic (Scrittura AI & Traduzione — Responsabile del Trattamento)

Anthropic, PBC (San Francisco, USA). Utilizzata per generare e tradurre i contenuti dei casi studio in base a un Accordo sul Trattamento dei Dati (DPA) firmato. Viene trasmesso solo il testo del progetto — nessun identificatore personale. Il trasferimento negli USA è coperto da Standard Contractual Clauses (SCC, Art. 46(2)(c) GDPR) e misure supplementari. È stata condotta una Transfer Impact Assessment (TIA). Privacy policy: anthropic.com/privacy.

5.3 Provider OAuth (Identità — Titolari Autonomi)

Google LLC, LinkedIn Corporation, Meta Platforms Inc. — solo se scegli di accedere tramite i loro servizi. Ciascun provider agisce come titolare autonomo per il processo di autenticazione OAuth. Le loro privacy policy regolano il trattamento dei dati. Noi riceviamo solo nome ed email come indicato al §2.6. I trasferimenti negli USA sono coperti dalla decisione di adeguatezza EU-US Data Privacy Framework o da SCC.

5.4 Infrastruttura di Hosting (Responsabile del Trattamento)

Tutti i server si trovano nell'Unione Europea. Non utilizziamo provider cloud statunitensi per l'archiviazione primaria dei dati. Tutti i provider di hosting hanno firmato con noi Accordi sul Trattamento dei Dati (DPA) e sono vincolati dagli obblighi dell'Art. 28 GDPR.

5.5 Invio Email Transazionali (Responsabile del Trattamento)

Le email transazionali vengono trasmesse via SMTP con crittografia TLS. La nostra infrastruttura email è ospitata nell'UE. Ove si utilizzi un relay SMTP di terze parti , esso è ubicato nell'UE, opera in base a un DPA firmato ed è vincolato dall'Art. 28 GDPR. Il tuo indirizzo email è utilizzato esclusivamente per la consegna della notifica di sistema e non viene impiegato per altri scopi dal provider di consegna.

6. Cookie e Tecnologie Simili

CaseStories utilizza solo cookie strettamente necessari. Non è richiesto un banner per il consenso ai cookie per questi, ai sensi della Direttiva ePrivacy (2002/58/CE).

  • Cookie di sessione (PHPSESSID): Mantiene attivo il tuo accesso. Scade alla chiusura del browser o dopo 30 minuti di inattività. Flag: HttpOnly, Secure, SameSite=Strict.
  • Cookie CSRF: Previene gli attacchi cross-site request forgery. Non ti identifica né traccia. Flag: HttpOnly, Secure, SameSite=Strict.
  • Cookie di preferenza lingua: Memorizza la lingua dell'interfaccia scelta. Non contiene dati personali. Scade dopo 1 anno.

Non utilizziamo cookie di analisi, pubblicità, pixel di tracciamento, script di fingerprinting né cookie di terze parti. Nessun dato raccolto tramite cookie viene condiviso con terzi.

7. Conservazione dei Dati

  • Dati account: Conservati per tutta la durata dell'account. Eliminati entro 30 giorni dalla richiesta di cancellazione verificata (§8), fatte salve le obbligazioni di conservazione legale di seguito indicate.
  • Case study pubblicate: Conservate fino all'eliminazione o chiusura account. Rimosse immediatamente dalla visualizzazione pubblica; cancellate dai backup entro 90 giorni.
  • Dati analytics (IP hash + statistiche di utilizzo): Statistiche aggregate e anonime conservate per 24 mesi. L'IP in formato hash non può essere invertito per recuperare l'IP originale.
  • Documenti contabili (fatture, conferme di pagamento): 10 anni — obbligatorio ai sensi della Direttiva IVA UE e del D.P.R. 600/1973. Non è possibile eliminarli anticipatamente a prescindere da una richiesta di cancellazione.
  • Messaggi di supporto: 3 anni dall'ultima interazione.
  • Log di consegna email: 30 giorni, utilizzati esclusivamente per la risoluzione di problemi di consegna.
  • Dati eliminati nei backup: I backup vengono sovrascritti entro 90 giorni; i dati eliminati non possono essere ripristinati dopo tale termine.

8. I Tuoi Diritti ai sensi del GDPR e della Normativa Applicabile

Se ti trovi nello SEE, nel Regno Unito o in Svizzera, hai i seguenti diritti:

  • Accesso (Art. 15): Richiedere copia di tutti i dati personali che conserviamo su di te, incluse informazioni sulle modalità di trattamento.
  • Rettifica (Art. 16): Correggere dati inesatti o incompleti. La maggior parte dei campi è modificabile direttamente nelle impostazioni account.
  • Cancellazione — "diritto all'oblio" (Art. 17): Richiedere la cancellazione entro 30 giorni. Fanno eccezione i dati che siamo obbligati per legge a conservare (es. documenti contabili — v. §7).
  • Portabilità (Art. 20): Ricevere i tuoi dati account e contenuti in formato strutturato e leggibile da macchina (JSON). Inviaci una email per richiedere l'esportazione.
  • Limitazione (Art. 18): Richiedere la limitazione del trattamento in pendenza di contestazione o verifica dell'esattezza.
  • Opposizione (Art. 21): Opporti in qualsiasi momento al trattamento basato sul legittimo interesse (Art. 6(1)(f)). Cesseremo il trattamento a meno che non possiamo dimostrare motivi legittimi prevalenti.
  • Revoca del consenso (Art. 7(3)): Dove il trattamento si basa sul consenso, revocarlo in qualsiasi momento senza effetti sul trattamento precedente.
  • Non essere soggetto a decisioni automatizzate (Art. 22): Non prendiamo decisioni basate esclusivamente su trattamenti automatizzati che producano effetti giuridici o analoghi. Tutte le decisioni materiali prevedono revisione umana. V. §15.

Fornitura dei dati — obbligatoria e facoltativa (Art. 13(2)(e)): L'indirizzo email e il nome sono obbligatori per la creazione dell'account. Senza di essi non è possibile erogare il servizio. Tutti gli altri campi del profilo (dettagli azienda, telefono, logo, ecc.) sono facoltativi e la loro omissione non incide sull'accesso alle funzioni principali.

Come esercitare i tuoi diritti: Scrivi a support@casestories.com con oggetto "Richiesta GDPR", oppure per posta a: Vento Digitale di Marco Forlani, [ADDRESS]. Verificheremo la tua identità prima di elaborare la richiesta e risponderemo entro 30 giorni (prorogabili a 60 per richieste complesse, Art. 12(3) GDPR). Nessun costo per le richieste standard.

Diritto di reclamo: Hai il diritto di presentare reclamo a qualsiasi autorità di controllo competente nello Stato membro UE/SEE in cui risiedi abitualmente, lavori o in cui si è verificata la presunta violazione. L'autorità di controllo capofila per questo titolare è:
Garante per la protezione dei dati personali
www.garanteprivacy.it — Piazza Venezia 11, 00187 Roma — Tel. +39 06.696771
Gli utenti nel Regno Unito possono anche contattare l'Information Commissioner's Office (ICO): ico.org.uk.

9. Sicurezza dei Dati

Implementiamo misure tecniche e organizzative adeguate (TOM) ai sensi dell'Art. 32 GDPR e del principio di privacy by design e by default (Art. 25), tra cui:

  • HTTPS con TLS 1.2+ per tutte le connessioni; le richieste HTTP vengono reindirizzate a HTTPS
  • Password con hash Argon2id (non reversibile, con salt)
  • Anonimizzazione IP tramite SHA-256 + salt (IP grezzo mai conservato)
  • Token CSRF su tutte le richieste che modificano lo stato
  • Rate limiting su autenticazione, registrazione, reset password e endpoint API
  • Flag HttpOnly, Secure e SameSite=Strict su tutti i cookie di sessione
  • Prevenzione SQL injection tramite prepared statement in tutto il codice
  • Validazione, type-checking MIME e archiviazione fuori dalla web root per i file caricati
  • Controllo accessi basato sui ruoli (separazione admin/utente) con principio del minimo privilegio
  • Revisioni di sicurezza regolari e audit delle dipendenze di terze parti
  • Backup cifrati archiviati nell'UE

Nessun sistema è sicuro al 100%. In caso di violazione dei dati personali, notificheremo il Garante entro 72 ore dalla scoperta (Art. 33 GDPR) e gli utenti interessati senza ingiustificato ritardo laddove la violazione sia suscettibile di comportare un rischio elevato (Art. 34 GDPR).

10. Trasferimenti Internazionali di Dati

I tuoi dati principali sono archiviati su server UE. Alcuni responsabili operano al di fuori dell'UE/SEE:

  • Anthropic (USA): Trasferimento coperto da Standard Contractual Clauses (Art. 46(2)(c) GDPR) nell'ambito di un DPA firmato, integrato da una Transfer Impact Assessment (TIA) che conferma adeguate garanzie pratiche. Il trattamento è limitato alla generazione di testo AI; nessun identificatore personale viene trasmesso.
  • Provider OAuth (USA) — Google, LinkedIn, Meta: Trasferimento coperto dalla decisione di adeguatezza EU-US Data Privacy Framework (Decisione della Commissione del 10 luglio 2023) o, ove applicabile, da SCC.

UK GDPR: Gli utenti nel Regno Unito sono coperti dal UK GDPR (come recepito nel diritto britannico dall'European Union (Withdrawal) Act 2018). I trasferimenti verso il Regno Unito beneficiano della decisione di adeguatezza UE per il UK. I diritti e i recapiti di cui al §8 si applicano ugualmente ai titolari di dati nel Regno Unito.

Tutti i trasferimenti internazionali sono soggetti a garanzie adeguate. Puoi richiedere i dettagli delle garanzie specifiche contattandoci a support@casestories.com.

11. Privacy dei Minori

CaseStories è una piattaforma B2B professionale non rivolta a persone di età inferiore a 16 anni (soglia GDPR per il consenso digitale). Non raccogliamo consapevolmente dati di minori di 16 anni. Se ritieni che un minore ci abbia fornito dati personali, contattaci immediatamente a support@casestories.com. Nota: il D.Lgs. 101/2018 (Art. 2-quinquies) fissa a 14 anni l'età minima per i servizi digitali in Italia; applichiamo la soglia GDPR più protettiva di 16 anni in tutte le giurisdizioni.

12. Notifica di Violazione dei Dati

In caso di violazione dei dati personali, provvederemo a:

  • Notificare il Garante entro 72 ore dalla scoperta (Art. 33 GDPR), salvo che la violazione non sia suscettibile di presentare un rischio per i diritti e le libertà delle persone
  • Informare gli utenti interessati senza ingiustificato ritardo (Art. 34 GDPR) laddove la violazione possa comportare un rischio elevato, salvo dati resi inintelligibili (es. cifrati)
  • Includere nella notifica: natura e portata della violazione, categorie e numero approssimativo di persone e registrazioni interessate, probabili conseguenze, misure adottate o proposte
  • Mantenere un registro interno delle violazioni (Art. 33(5) GDPR)

13. Modifiche a questa Informativa

Potremo aggiornare periodicamente questa Informativa per riflettere cambiamenti nelle nostre pratiche, nella tecnologia, nei requisiti legali o in altri fattori.

Le modifiche sostanziali (modifiche alle finalità del trattamento, alle tipologie di dati raccolti, nuovi responsabili, o modifiche rilevanti ai diritti degli interessati) saranno comunicate ai titolari di account via email almeno 30 giorni prima dell'entrata in vigore e con un avviso in evidenza sulla piattaforma. Il proseguimento dell'utilizzo della piattaforma dopo la data di entrata in vigore costituisce accettazione solo per gli aggiornamenti non sostanziali.

Le modifiche non sostanziali (es. chiarimenti, formattazione, aggiornamento recapiti) possono entrare in vigore immediatamente e saranno riflesse nella data "Ultimo aggiornamento".

Ti consigliamo di consultare periodicamente questa informativa. Le versioni precedenti sono disponibili su richiesta.

14. Contatti

Per qualsiasi richiesta, domanda o reclamo relativo alla privacy:

  • Email: support@casestories.com — oggetto "Privacy / GDPR" per un instradamento più rapido
  • Indirizzo postale: Vento Digitale di Marco Forlani, [ADDRESS], Italia
  • Tempi di risposta: Entro 30 giorni dal ricevimento (prorogabili a 60 per richieste complesse, Art. 12(3) GDPR). Confermeremo la ricezione entro 5 giorni lavorativi.

Verificheremo la tua identità prima di elaborare qualsiasi richiesta. Nessun costo per le richieste standard; potremo applicare una tariffa ragionevole solo per richieste manifestamente infondate o eccessive (Art. 12(5) GDPR).

15. Decisioni Automatizzate e Profilazione

In conformità con gli Artt. 13(2)(f) e 22 del GDPR, confermiamo quanto segue:

  • Non effettuiamo alcun processo decisionale automatizzato individuale che produca effetti giuridici o analogamente significativi sugli interessati.
  • Non effettuiamo profilazione ai sensi dell'Art. 4(4) GDPR — ossia nessun trattamento automatizzato di dati personali volto a valutare aspetti personali relativi a un individuo, in particolare per analizzare o prevedere comportamenti, preferenze, interessi o altre caratteristiche.
  • Le analytics di prima parte (§2.3) sono utilizzate esclusivamente per produrre statistiche aggregate e anonime della piattaforma e non comportano profilazione individuale.
  • Le funzioni AI (§2.5) generano testo editoriale sulla base delle descrizioni di progetto fornite dall'utente. Questo processo non valuta, assegna punteggi, classifica né adotta decisioni su alcun individuo.
  • Il rate limiting e il rilevamento delle frodi (§3 — Sicurezza) comportano controlli automatizzati, ma qualsiasi restrizione dell'account risultante da tali controlli è soggetta a revisione umana prima dell'applicazione.

Se questa informativa dovesse cambiare per includere profilazione o decisioni automatizzate con effetti significativi, aggiorneremo questa sezione e notificheremo gli utenti in anticipo, richiedendo il consenso o offrendo un opt-out significativo ove necessario.

16. Nessuna Vendita o Commercializzazione dei Dati Personali

Confermiamo esplicitamente che:

  • Non vendiamo, affittiamo, cediamo né scambiamo i tuoi dati personali con nessuna terza parte, a titolo oneroso o gratuito.
  • Non condividiamo dati personali con data broker, inserzionisti o reti pubblicitarie.
  • Non utilizziamo i tuoi dati personali per pubblicità comportamentale, targeting basato sugli interessi o tracciamento comportamentale cross-context.
  • Non utilizziamo i contenuti dei tuoi casi studio pubblicati per addestrare modelli AI o per scopi diversi dall'erogazione del servizio.

Questo impegno si applica indipendentemente dalla giurisdizione. Residenti in California: questa policy soddisfa il diritto "Do Not Sell or Share My Personal Information" ai sensi del CCPA/CPRA, in quanto non vendiamo né condividiamo dati personali come definito da tali leggi.

17. Giurisdizioni Aggiuntive

17.1 UK GDPR

I residenti nel Regno Unito sono tutelati dal UK GDPR e dal Data Protection Act 2018. I diritti di cui al §8 si applicano integralmente. L'autorità di controllo per i residenti nel UK è l'Information Commissioner's Office (ICO): ico.org.uk.

17.2 Brasile — LGPD

I titolari di dati brasiliani sono tutelati dalla Lei Geral de Proteção de Dados (LGPD, Legge 13.709/2018). I diritti LGPD possono essere esercitati tramite i recapiti al §14. L'autorità di controllo è l'ANPD: gov.br/anpd.

17.3 Svizzera

I residenti svizzeri sono tutelati dalla Legge federale sulla protezione dei dati riveduta (LPD, in vigore dal 1° settembre 2023). L'autorità di controllo è l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT): edoeb.admin.ch.

17.4 California — CCPA/CPRA

I residenti in California hanno diritti ai sensi del CCPA/CPRA. Come indicato al §16, non vendiamo né condividiamo dati personali. I diritti possono essere esercitati tramite i recapiti al §14.