Informativa sulla Privacy

Ultimo aggiornamento: 8 aprile 2026  ·  In vigore dal: 8 aprile 2026

CaseStories ("noi", "nostro") è gestito da Vento Digitale di Marco Forlani (P.IVA IT03694090139), Italia. Questa informativa spiega come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali in piena conformità con il Regolamento UE 2016/679 (GDPR), il Codice Privacy italiano (D.Lgs. 196/2003 come modificato), il UK GDPR e le altre normative applicabili.

1. Titolare del Trattamento e Recapiti

Il Titolare del Trattamento dei tuoi dati personali è:

  • Vento Digitale di Marco Forlani
  • P.IVA IT03694090139 — Italia
  • Sede legale: Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy
  • Piattaforma: CaseStorieswww.casestories.com
  • Email: support@casestories.com

Responsabile della Protezione dei Dati (DPO)

Ai sensi dell'Art. 37 GDPR, il DPO è obbligatorio per enti pubblici, organizzazioni che effettuano monitoraggio sistematico su larga scala o che trattano categorie particolari di dati su larga scala. Vento Digitale di Marco Forlani è un operatore privato di piccole dimensioni che non effettua monitoraggio sistematico su larga scala e non tratta categorie particolari di dati personali (Art. 9). Pertanto, la nomina di un DPO non è obbligatoria. Tutte le questioni relative alla privacy sono gestite direttamente e tempestivamente dal Titolare ai recapiti indicati.

2. Dati che Raccogliamo

2.1 Dati Account

Quando ti registri, raccogliamo:

  • Indirizzo email (obbligatorio — identificativo account)
  • Nome e cognome (obbligatori)
  • Password — salvata come hash non reversibile (Argon2id). Non siamo in grado di recuperare la tua password.
  • Nome azienda, descrizione, sito web, città, paese, settore, telefono (facoltativi)
  • Logo aziendale (immagine, facoltativo)
  • Lingua dell'interfaccia preferita

2.2 Dati dei Contenuti

Tutti i casi studio, le descrizioni di progetto, i file media (immagini, video) e i messaggi diretti che crei o invii tramite la piattaforma vengono salvati e associati al tuo account.

2.3 Analytics

2.3.1 Analytics basati su cookie — Matomo (consenso richiesto)

Utilizziamo Matomo, una piattaforma di web analytics open source operata esclusivamente sui nostri server all'interno dell'Unione Europea. Nessun dato analytics viene mai inviato a servizi di analisi di terze parti. Matomo viene caricato solo dopo che hai prestato il consenso ai cookie tramite il nostro banner. Quando attivo, Matomo raccoglie:

  • IP anonimizzato — gli ultimi due ottetti vengono mascherati prima della memorizzazione (es. 203.0.113.0.0); l'IP completo non viene mai salvato.
  • Pagine visitate e timestamp
  • Tipo di browser e OS (stringa User-Agent)
  • URL di provenienza
  • Paese approssimativo (derivato dall'IP mascherato)

Se rifiuti i cookie, Matomo non viene caricato e non avviene alcun tracciamento basato su cookie.

2.3.2 Analytics di prima parte lato server (consenso non richiesto)

Indipendentemente dal consenso ai cookie, la piattaforma registra lato server gli eventi di interazione — in particolare visualizzazioni di pagina, click sui CTA, condivisioni, ricerche e click sui link di contatto delle case study pubblicate. Questi dati vengono elaborati esclusivamente per fornire statistiche aggregate sulle performance ai proprietari delle case study (es. "la tua case study ha ricevuto 120 visualizzazioni questo mese dall'Italia"). La base giuridica è il legittimo interesse (Art. 6(1)(f) GDPR): il proprietario della case study ha un interesse legittimo a comprendere come performa il proprio contenuto pubblicato, bilanciato dalle misure di tutela della privacy descritte di seguito.

Per ogni evento vengono registrati lato server i seguenti dati:

  • Tipo di evento (visualizzazione, click, condivisione, ricerca o click su contatto)
  • Hash SHA-256 dell'indirizzo IP del visitatore — l'IP grezzo non viene mai salvato; viene conservato solo il suo hash unidirezionale, che non può essere invertito per risalire all'indirizzo originale.
  • Codice paese (codice ISO 3166-1 a 2 lettere, es. IT, DE) — derivato dall'IP prima dell'hashing e conservato esclusivamente come indicatore geografico aggregato.
  • URL di provenienza — l'header HTTP Referer, se presente.
  • Stringa User-Agent — l'identificativo completo di browser e sistema operativo inviato dal tuo browser con ogni richiesta HTTP (es. Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)…). Questa stringa viene salvata così com'è e utilizzata per classificare le visite per tipo di dispositivo e browser nelle statistiche aggregate. Sebbene la stringa User-Agent non sia di per sé univocamente identificativa, in combinazione con l'hash IP e il referrer costituisce un dato pseudonimo ai sensi del GDPR. La conserviamo per 24 mesi, trascorsi i quali viene eliminata.

Questo trattamento non utilizza cookie né meccanismi di memorizzazione lato client e rientra pertanto al di fuori dell'ambito di applicazione del requisito di consenso previsto dalla Direttiva ePrivacy. Puoi opporti a questo trattamento in qualsiasi momento ai sensi dell'Art. 21 GDPR scrivendo a support@casestories.works.

Non utilizziamo Google Analytics, Meta Pixel né script di tracciamento di terze parti sulla piattaforma o nelle nostre email.

2.4 Dati di Pagamento

Il pagamento è gestito interamente da Paddle, che agisce come Merchant of Record ed è un titolare del trattamento autonomo per i dati di pagamento. Non salviamo numeri di carta di credito, codici CVV o dati bancari. Riceviamo e salviamo solo il customer ID, l'ID abbonamento, l'ID transazione e lo stato del pagamento forniti da Paddle.

2.5 Contenuti Generati dall'IA

Quando utilizzi le funzioni di scrittura o traduzione AI, il testo del progetto che fornisci (sfide, soluzioni, risultati) viene trasmesso all'API di Anthropic. Non trasmettiamo identificatori personali (nome, email, nome azienda) ad Anthropic. Il testo viene elaborato in modo transitorio e non viene usato per addestrare i modelli di Anthropic ai sensi del nostro Accordo sul Trattamento dei Dati API.

2.6 Dati di Accesso OAuth

Se accedi tramite Google, LinkedIn o Facebook, riceviamo solo l'indirizzo email e il nome visualizzato forniti dal provider OAuth. Salviamo il nome del provider e il suo ID utente per abilitare i futuri accessi. Non riceviamo né salviamo token OAuth, password o altri dati oltre a quelli sopra indicati.

2.7 Metadati Email Transazionali

Quando ti inviamo email transazionali (verifica account, reset password, ricevute abbonamento), trattiamo il tuo indirizzo email e lo stato di consegna. Non inseriamo pixel di tracciamento o link con tracciamento dei click nelle nostre email.

3. Come Utilizziamo i Tuoi Dati

  • Erogazione del servizio: Creazione e gestione del tuo account, pubblicazione di case study, elaborazione dei pagamenti, scrittura e traduzione assistita dall'IA.
  • Miglioramento del servizio: Analisi di pattern di utilizzo aggregati e anonimi per stabilire le priorità delle funzionalità.
  • Comunicazione: Invio di email transazionali (verifica account, reset password, ricevute, avvisi). Non inviamo email di marketing senza consenso esplicito e preventivo.
  • Sicurezza: Rilevamento e prevenzione degli accessi fraudolenti, rate limiting, prevenzione degli abusi.
  • Conformità legale e contabilità: Conservazione dei documenti di fatturazione come richiesto dalla normativa IVA e contabile UE e italiana.
  • Comunicazione alle autorità pubbliche: Ove richiesto dalla legge applicabile, da un ordine del tribunale o da una richiesta vincolante di un'autorità competente, potremo comunicare dati personali alle forze di polizia o agli organi di vigilanza. Ti informeremo salvo divieto di legge.
  • Supporto: Risposta alle tue richieste e risoluzione delle controversie.
  • Amministrazione e manutenzione della piattaforma: In qualità di gestore della piattaforma, il Titolare può accedere ai dati degli account e ai contenuti degli utenti esclusivamente per necessità tecniche di manutenzione, diagnostica di sistema, risposta a incidenti di sicurezza e rilevamento di abusi. Tale accesso è limitato allo stretto necessario per l'attività in corso, viene registrato e non è mai utilizzato per fini commerciali.

Non vendiamo, affittiamo, cediamo né commercializziamo in alcun modo i tuoi dati personali a terzi. Non li utilizziamo per pubblicità mirata né li condividiamo con data broker.

4. Basi Giuridiche del Trattamento (Art. 6 GDPR)

  • Esecuzione contrattuale (Art. 6(1)(b)): Trattamento necessario per erogare il servizio sottoscritto — gestione account, pubblicazione case study, pagamenti, scrittura AI.
  • Legittimo interesse (Art. 6(1)(f)): Monitoraggio della sicurezza, prevenzione delle frodi e analytics di prima parte per migliorare la piattaforma. Abbiamo condotto una valutazione del legittimo interesse (LIA): il nostro interesse a mantenere sicura la piattaforma e a migliorarne le funzionalità è bilanciato con gli interessi degli interessati; utilizziamo tecniche di tutela della privacy (hashing IP, anonimizzazione) per ridurre al minimo l'impatto. Puoi opporti in qualsiasi momento (v. §8).
  • Obbligo legale (Art. 6(1)(c)): Conservazione dei documenti di fatturazione come richiesto dalla normativa IVA e contabile UE e italiana (10 anni).
  • Consenso (Art. 6(1)(a)): Attualmente nessun trattamento basato sul consenso oltre alla registrazione (confermata con verifica email). Le funzionalità opzionali future (es. email di marketing) saranno opt-in, con il diritto di revocare il consenso in qualsiasi momento senza conseguenze.

5. Responsabili Terzi del Trattamento e Fornitori di Servizi

5.1 Paddle (Pagamenti — Titolare Autonomo)

Paddle.com Market Ltd (UK / Irlanda). Agisce come Merchant of Record per tutte le transazioni — ciò significa che Paddle è un titolare del trattamento autonomo per i dati di pagamento, non un nostro sub-responsabile. Gestisce i pagamenti con carta in conformità PCI-DSS secondo la propria privacy policy: paddle.com/legal/privacy. Noi riceviamo solo i metadati non sensibili elencati al §2.4.

5.2 Anthropic (Scrittura AI & Traduzione — Responsabile del Trattamento)

Anthropic, PBC (San Francisco, USA). Utilizzata per generare e tradurre i contenuti dei casi studio in base a un Accordo sul Trattamento dei Dati (DPA) firmato. Viene trasmesso solo il testo del progetto — nessun identificatore personale. Il trasferimento negli USA è coperto da Standard Contractual Clauses (SCC, Art. 46(2)(c) GDPR) e misure supplementari. È stata condotta una Transfer Impact Assessment (TIA). Privacy policy: anthropic.com/privacy.

5.3 Provider OAuth — Google, LinkedIn (Identità — Titolari Autonomi)

Google LLC e LinkedIn Corporation — solo se scegli di accedere tramite i loro servizi. Ciascun provider agisce come titolare autonomo per il processo di autenticazione OAuth. Le loro privacy policy regolano il trattamento dei rispettivi dati. Riceviamo solo nome ed email (§2.6); non riceviamo token OAuth, password o altri dati di profilo. È disponibile anche l'accesso tramite Facebook come opzione alternativa. I trasferimenti negli USA sono coperti dalla decisione di adeguatezza EU-US Data Privacy Framework (Decisione della Commissione del 10 luglio 2023) o, ove applicabile, da Standard Contractual Clauses.

5.4 Infrastruttura di Hosting — Amazon Web Services EU (Responsabile del Trattamento)

Tutti i server applicativi e i database sono ospitati su Amazon Web Services (AWS), regione Unione Europea (eu-west-1 — Irlanda o eu-central-1 — Francoforte). Nessun dato primario viene archiviato al di fuori dell'Unione Europea. AWS ha firmato con noi un Accordo sul Trattamento dei Dati (DPA) ed è vincolato dagli obblighi dell'Art. 28 GDPR. Le regioni EU di AWS sono certificate ISO 27001, SOC 2 e forniscono garanzie contrattuali di residenza dei dati nell'UE.

5.5 Invio Email Transazionali (Responsabile del Trattamento)

Le email transazionali vengono trasmesse via SMTP con crittografia TLS. La nostra infrastruttura email è ospitata nell'UE, opera in base a un DPA firmato ed è vincolata dall'Art. 28 GDPR. Il tuo indirizzo email è utilizzato esclusivamente per la consegna della notifica di sistema.

5.6 Analytics — Matomo (Gestito da Noi, Infrastruttura UE)

Ospitiamo autonomamente Matomo, una piattaforma di web analytics open source, sui nostri server all'interno dell'Unione Europea. Matomo non è un servizio di terze parti: opera interamente su server da noi controllati e nessun dato analytics viene trasmesso a soggetti esterni. Matomo tratta esclusivamente i dati anonimizzati descritti al §2.3. In quanto nostro strumento interno, Matomo è soggetto integralmente alla presente informativa sulla privacy.

6. Cookie e Tecnologie Simili

CaseStories utilizza cookie in due categorie:

Cookie Strettamente Necessari (nessun consenso richiesto)

Questi cookie sono indispensabili per il funzionamento della piattaforma e non possono essere disabilitati.

  • Cookie di sessione (PHPSESSID): Mantiene attivo il tuo accesso. Scade alla chiusura del browser o dopo 30 minuti di inattività. Flag: HttpOnly, Secure, SameSite=Strict.
  • Cookie CSRF: Previene gli attacchi cross-site request forgery. Non ti identifica né traccia. Flag: HttpOnly, Secure, SameSite=Strict.
  • Cookie di preferenza lingua: Memorizza la lingua dell'interfaccia scelta. Non contiene dati personali. Scade dopo 1 anno.
  • Cookie di preferenza consenso cookie: Registra la tua scelta di accettare o rifiutare i cookie analytics. Scade dopo 1 anno.

Cookie Analytics (consenso richiesto)

Questi cookie vengono impostati solo dopo che hai prestato il consenso tramite il nostro banner cookie. Sono utilizzati esclusivamente per gli analytics aggregati e anonimi descritti al §2.3 (Matomo, ospitato sui nostri server UE).

  • _pk_id.*: Identifica una sessione browser per gli analytics Matomo. Scade dopo 13 mesi. Non contiene informazioni personalmente identificabili.
  • _pk_ses.*: Cookie di sessione di breve durata per Matomo. Scade dopo 30 minuti.

Puoi revocare il consenso ai cookie analytics in qualsiasi momento cliccando sul link delle impostazioni cookie nel footer della pagina. Matomo è gestito da noi sui nostri server EU — nessun dato analytics viene condiviso con terzi.

Non utilizziamo cookie pubblicitari, pixel di tracciamento, script di fingerprinting né cookie di terze parti.

7. Conservazione dei Dati

  • Dati account: Conservati per tutta la durata dell'account. Eliminati entro 30 giorni dalla richiesta di cancellazione verificata (§8), fatte salve le obbligazioni di conservazione legale di seguito indicate.
  • Case study pubblicate: Conservate fino all'eliminazione o chiusura account. Rimosse immediatamente dalla visualizzazione pubblica; cancellate dai backup entro 90 giorni.
  • Dati analytics (IP hash + statistiche di utilizzo): Statistiche aggregate e anonime conservate per 24 mesi. L'IP in formato hash non può essere invertito per recuperare l'IP originale.
  • Documenti contabili (fatture, conferme di pagamento): 10 anni — obbligatorio ai sensi della Direttiva IVA UE e del D.P.R. 600/1973. Non è possibile eliminarli anticipatamente a prescindere da una richiesta di cancellazione.
  • Messaggi di supporto: 3 anni dall'ultima interazione.
  • Log di consegna email: 30 giorni, utilizzati esclusivamente per la risoluzione di problemi di consegna.
  • Dati eliminati nei backup: I backup vengono sovrascritti entro 90 giorni; i dati eliminati non possono essere ripristinati dopo tale termine.

8. I Tuoi Diritti ai sensi del GDPR e della Normativa Applicabile

Se ti trovi nello SEE, nel Regno Unito o in Svizzera, hai i seguenti diritti:

  • Accesso (Art. 15): Richiedere copia di tutti i dati personali che conserviamo su di te, incluse informazioni sulle modalità di trattamento.
  • Rettifica (Art. 16): Correggere dati inesatti o incompleti. La maggior parte dei campi è modificabile direttamente nelle impostazioni account.
  • Cancellazione — "diritto all'oblio" (Art. 17): Richiedere la cancellazione entro 30 giorni. Fanno eccezione i dati che siamo obbligati per legge a conservare (es. documenti contabili — v. §7).
  • Portabilità (Art. 20): Ricevere i tuoi dati account e contenuti in formato strutturato e leggibile da macchina (JSON). Inviaci una email per richiedere l'esportazione.
  • Limitazione (Art. 18): Richiedere la limitazione del trattamento in pendenza di contestazione o verifica dell'esattezza.
  • Opposizione (Art. 21): Opporti in qualsiasi momento al trattamento basato sul legittimo interesse (Art. 6(1)(f)). Cesseremo il trattamento a meno che non possiamo dimostrare motivi legittimi prevalenti.
  • Revoca del consenso (Art. 7(3)): Dove il trattamento si basa sul consenso, revocarlo in qualsiasi momento senza effetti sul trattamento precedente.
  • Non essere soggetto a decisioni automatizzate (Art. 22): Non prendiamo decisioni basate esclusivamente su trattamenti automatizzati che producano effetti giuridici o analoghi. Tutte le decisioni materiali prevedono revisione umana. V. §15.

Fornitura dei dati — obbligatoria e facoltativa (Art. 13(2)(e)): L'indirizzo email e il nome sono obbligatori per la creazione dell'account. Senza di essi non è possibile erogare il servizio. Tutti gli altri campi del profilo (dettagli azienda, telefono, logo, ecc.) sono facoltativi e la loro omissione non incide sull'accesso alle funzioni principali.

Come esercitare i tuoi diritti: Scrivi a support@casestories.com con oggetto "Richiesta GDPR", oppure per posta a: Vento Digitale di Marco Forlani, Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy. Verificheremo la tua identità prima di elaborare la richiesta e risponderemo entro 30 giorni (prorogabili a 60 per richieste complesse, Art. 12(3) GDPR). Nessun costo per le richieste standard.

Diritto di reclamo: Hai il diritto di presentare reclamo a qualsiasi autorità di controllo competente nello Stato membro UE/SEE in cui risiedi abitualmente, lavori o in cui si è verificata la presunta violazione. L'autorità di controllo capofila per questo titolare è:
Garante per la protezione dei dati personali
www.garanteprivacy.it — Piazza Venezia 11, 00187 Roma — Tel. +39 06.696771
Gli utenti nel Regno Unito possono anche contattare l'Information Commissioner's Office (ICO): ico.org.uk.

9. Sicurezza dei Dati

Implementiamo misure tecniche e organizzative adeguate (TOM) ai sensi dell'Art. 32 GDPR e del principio di privacy by design e by default (Art. 25), tra cui:

  • HTTPS con TLS 1.2+ per tutte le connessioni; le richieste HTTP vengono reindirizzate a HTTPS
  • Password con hash Argon2id (non reversibile, con salt)
  • Anonimizzazione IP tramite SHA-256 + salt (IP grezzo mai conservato)
  • Token CSRF su tutte le richieste che modificano lo stato
  • Rate limiting su autenticazione, registrazione, reset password e endpoint API
  • Flag HttpOnly, Secure e SameSite=Strict su tutti i cookie di sessione
  • Prevenzione SQL injection tramite prepared statement in tutto il codice
  • Validazione, type-checking MIME e archiviazione fuori dalla web root per i file caricati
  • Controllo accessi basato sui ruoli (separazione admin/utente) con principio del minimo privilegio
  • Revisioni di sicurezza regolari e audit delle dipendenze di terze parti
  • Backup cifrati archiviati nell'UE

Nessun sistema è sicuro al 100%. In caso di violazione dei dati personali, notificheremo il Garante entro 72 ore dalla scoperta (Art. 33 GDPR) e gli utenti interessati senza ingiustificato ritardo laddove la violazione sia suscettibile di comportare un rischio elevato (Art. 34 GDPR).

10. Trasferimenti Internazionali di Dati

Tutti i dati primari — account, contenuti, analytics — sono archiviati ed elaborati esclusivamente su Amazon Web Services (AWS), regione Unione Europea. Non trasferiamo i tuoi dati al di fuori dell'UE per alcuno scopo di archiviazione o elaborazione primaria.

Gli unici trasferimenti al di fuori dell'UE/SEE sono strettamente limitati ai seguenti:

  • Anthropic (USA) — solo generazione di testo AI: Trasferimento coperto da Standard Contractual Clauses (Art. 46(2)(c) GDPR) nell'ambito di un DPA firmato, integrato da una Transfer Impact Assessment (TIA). Viene trasmesso solo il testo del progetto; nessun identificatore personale è incluso.
  • Provider OAuth (USA) — Google, LinkedIn: Trasferimento coperto dalla decisione di adeguatezza EU-US Data Privacy Framework (Decisione della Commissione del 10 luglio 2023) o, ove applicabile, da SCC. Si applica solo quando scegli attivamente di accedere tramite questi provider.

Non vendiamo, condividiamo né trasferiamo dati personali ad alcun altro soggetto al di fuori dell'UE per scopi di marketing, commerciali o tecnici.

UK GDPR: Gli utenti nel Regno Unito sono coperti dal UK GDPR (come recepito nel diritto britannico dall'European Union (Withdrawal) Act 2018). I trasferimenti verso il Regno Unito beneficiano della decisione di adeguatezza UE per il UK. I diritti e i recapiti di cui al §8 si applicano ugualmente ai titolari di dati nel Regno Unito.

Puoi richiedere i dettagli delle garanzie specifiche contattandoci a support@casestories.com.

11. Privacy dei Minori

CaseStories è una piattaforma B2B professionale non rivolta a persone di età inferiore a 16 anni (soglia GDPR per il consenso digitale). Non raccogliamo consapevolmente dati di minori di 16 anni. Se ritieni che un minore ci abbia fornito dati personali, contattaci immediatamente a support@casestories.com. Nota: il D.Lgs. 101/2018 (Art. 2-quinquies) fissa a 14 anni l'età minima per i servizi digitali in Italia; applichiamo la soglia GDPR più protettiva di 16 anni in tutte le giurisdizioni.

12. Notifica di Violazione dei Dati

In caso di violazione dei dati personali, provvederemo a:

  • Notificare il Garante entro 72 ore dalla scoperta (Art. 33 GDPR), salvo che la violazione non sia suscettibile di presentare un rischio per i diritti e le libertà delle persone
  • Informare gli utenti interessati senza ingiustificato ritardo (Art. 34 GDPR) laddove la violazione possa comportare un rischio elevato, salvo dati resi inintelligibili (es. cifrati)
  • Includere nella notifica: natura e portata della violazione, categorie e numero approssimativo di persone e registrazioni interessate, probabili conseguenze, misure adottate o proposte
  • Mantenere un registro interno delle violazioni (Art. 33(5) GDPR)

13. Modifiche a questa Informativa

Potremo aggiornare periodicamente questa Informativa per riflettere cambiamenti nelle nostre pratiche, nella tecnologia, nei requisiti legali o in altri fattori.

Le modifiche sostanziali (modifiche alle finalità del trattamento, alle tipologie di dati raccolti, nuovi responsabili, o modifiche rilevanti ai diritti degli interessati) saranno comunicate ai titolari di account via email almeno 30 giorni prima dell'entrata in vigore e con un avviso in evidenza sulla piattaforma. Il proseguimento dell'utilizzo della piattaforma dopo la data di entrata in vigore costituisce accettazione solo per gli aggiornamenti non sostanziali.

Le modifiche non sostanziali (es. chiarimenti, formattazione, aggiornamento recapiti) possono entrare in vigore immediatamente e saranno riflesse nella data "Ultimo aggiornamento".

Ti consigliamo di consultare periodicamente questa informativa. Le versioni precedenti sono disponibili su richiesta.

14. Contatti

Per qualsiasi richiesta, domanda o reclamo relativo alla privacy:

  • Email: support@casestories.com — oggetto "Privacy / GDPR" per un instradamento più rapido
  • Indirizzo postale: Vento Digitale di Marco Forlani, Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy, Italia
  • Tempi di risposta: Entro 30 giorni dal ricevimento (prorogabili a 60 per richieste complesse, Art. 12(3) GDPR). Confermeremo la ricezione entro 5 giorni lavorativi.

Verificheremo la tua identità prima di elaborare qualsiasi richiesta. Nessun costo per le richieste standard; potremo applicare una tariffa ragionevole solo per richieste manifestamente infondate o eccessive (Art. 12(5) GDPR).

15. Decisioni Automatizzate e Profilazione

In conformità con gli Artt. 13(2)(f) e 22 del GDPR, confermiamo quanto segue:

  • Non effettuiamo alcun processo decisionale automatizzato individuale che produca effetti giuridici o analogamente significativi sugli interessati.
  • Non effettuiamo profilazione ai sensi dell'Art. 4(4) GDPR — ossia nessun trattamento automatizzato di dati personali volto a valutare aspetti personali relativi a un individuo, in particolare per analizzare o prevedere comportamenti, preferenze, interessi o altre caratteristiche.
  • Le analytics di prima parte (§2.3) sono utilizzate esclusivamente per produrre statistiche aggregate e anonime della piattaforma e non comportano profilazione individuale.
  • Le funzioni AI (§2.5) generano testo editoriale sulla base delle descrizioni di progetto fornite dall'utente. Questo processo non valuta, assegna punteggi, classifica né adotta decisioni su alcun individuo.
  • Il rate limiting e il rilevamento delle frodi (§3 — Sicurezza) comportano controlli automatizzati, ma qualsiasi restrizione dell'account risultante da tali controlli è soggetta a revisione umana prima dell'applicazione.

Se questa informativa dovesse cambiare per includere profilazione o decisioni automatizzate con effetti significativi, aggiorneremo questa sezione e notificheremo gli utenti in anticipo, richiedendo il consenso o offrendo un opt-out significativo ove necessario.

16. Nessuna Vendita o Commercializzazione dei Dati Personali

Confermiamo esplicitamente che:

  • Non vendiamo, affittiamo, cediamo né scambiamo i tuoi dati personali con nessuna terza parte, a titolo oneroso o gratuito.
  • Non condividiamo dati personali con data broker, inserzionisti o reti pubblicitarie.
  • Non utilizziamo i tuoi dati personali per pubblicità comportamentale, targeting basato sugli interessi o tracciamento comportamentale cross-context.
  • Non utilizziamo i contenuti dei tuoi casi studio pubblicati per addestrare modelli AI o per scopi diversi dall'erogazione del servizio.

Questo impegno si applica indipendentemente dalla giurisdizione. Residenti in California: questa policy soddisfa il diritto "Do Not Sell or Share My Personal Information" ai sensi del CCPA/CPRA, in quanto non vendiamo né condividiamo dati personali come definito da tali leggi.

17. Giurisdizioni Aggiuntive

17.1 UK GDPR

I residenti nel Regno Unito sono tutelati dal UK GDPR e dal Data Protection Act 2018. I diritti di cui al §8 si applicano integralmente. L'autorità di controllo per i residenti nel UK è l'Information Commissioner's Office (ICO): ico.org.uk.

17.2 Brasile — LGPD

I titolari di dati brasiliani sono tutelati dalla Lei Geral de Proteção de Dados (LGPD, Legge 13.709/2018). I diritti LGPD possono essere esercitati tramite i recapiti al §14. L'autorità di controllo è l'ANPD: gov.br/anpd.

17.3 Svizzera

I residenti svizzeri sono tutelati dalla Legge federale sulla protezione dei dati riveduta (LPD, in vigore dal 1° settembre 2023). L'autorità di controllo è l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT): edoeb.admin.ch.

17.4 California — CCPA/CPRA

I residenti in California hanno diritti ai sensi del CCPA/CPRA. Come indicato al §16, non vendiamo né condividiamo dati personali. I diritti possono essere esercitati tramite i recapiti al §14.