Privacy Policy

Ultimo aggiornamento: 28 Ottobre 2025

BrainTable ("noi", "nostro") si impegna a proteggere la tua privacy. Questa Privacy Policy descrive come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR - Regolamento UE 2016/679) e il Codice Privacy italiano (D.Lgs. 196/2003).

1. Titolare del Trattamento

Andrea Padoan

Email: andrea.padoan@gmail.com

Sede: Verona, Italia

In attesa di registrazione P.IVA/Partita IVA

2. Dati Personali che Raccogliamo

2.1 Dati Forniti Direttamente da Te

  • Registrazione Account:
    • Indirizzo email (obbligatorio)
    • Password (crittografata, non accessibile da noi)
    • Nome utente (opzionale)
  • Utilizzo del Servizio:
    • Sessioni di brainstorming create (titolo, descrizione, contenuto chat)
    • Report generati
    • Preferenze e impostazioni account
  • Pagamenti (tramite Stripe):
    • Informazioni carta di credito (processate esclusivamente da Stripe, noi NON memorizziamo dati di pagamento)
    • Nome fatturazione
    • Indirizzo fatturazione (se fornito)
    • Storico acquisti (piano, importo, data)
  • Comunicazioni:
    • Email di supporto o richieste inviate

2.2 Dati Raccolti Automaticamente

  • Dati di Utilizzo:
    • Indirizzo IP (anonimizzato)
    • Tipo e versione browser
    • Sistema operativo
    • Data e ora di accesso
    • Pagine visitate
  • Cookie e Tecnologie Simili:
    • Cookie di autenticazione (Supabase)
    • Cookie di sessione
    • Per maggiori dettagli, consulta la nostra Cookie Policy

3. Finalità del Trattamento e Base Giuridica

🔐 Fornitura del Servizio

Finalità: Creare e gestire il tuo account, permetterti di utilizzare le funzionalità di brainstorming AI, memorizzare sessioni e report

Base giuridica: Esecuzione del contratto (Art. 6(1)(b) GDPR)

💳 Elaborazione Pagamenti

Finalità: Gestire acquisti di crediti, piani, abbonamenti e emettere ricevute/fatture

Base giuridica: Esecuzione del contratto (Art. 6(1)(b) GDPR)

🛡️ Sicurezza e Prevenzione Frodi

Finalità: Proteggere il servizio da abusi, frodi, attacchi informatici e garantire la sicurezza degli utenti

Base giuridica: Legittimo interesse (Art. 6(1)(f) GDPR)

📊 Miglioramento del Servizio

Finalità: Analizzare l'utilizzo del servizio per migliorare funzionalità, UX e performance (dati aggregati e anonimi)

Base giuridica: Legittimo interesse (Art. 6(1)(f) GDPR)

📧 Comunicazioni di Servizio

Finalità: Inviarti notifiche importanti (conferme ordine, scadenze abbonamento, aggiornamenti termini, problemi sicurezza)

Base giuridica: Esecuzione del contratto (Art. 6(1)(b) GDPR)

📬 Marketing (Solo con Consenso)

Finalità: Inviarti newsletter, offerte, aggiornamenti prodotto (SOLO se hai espresso consenso esplicito)

Base giuridica: Consenso (Art. 6(1)(a) GDPR)

Puoi revocare il consenso in qualsiasi momento dalle impostazioni account o cliccando "Annulla iscrizione" nelle email

⚖️ Obblighi Legali

Finalità: Rispettare obblighi fiscali, contabili e legali (es. conservazione fatture, risposta a richieste autorità)

Base giuridica: Obbligo legale (Art. 6(1)(c) GDPR)

4. Con Chi Condividiamo i Tuoi Dati

Non vendiamo né affittiamo i tuoi dati personali a terzi. Condividiamo i dati solo con:

🔐 Supabase (Database e Autenticazione)

  • Dati condivisi: Email, password hash, contenuto sessioni, report
  • Sede: USA (con garanzie GDPR - Standard Contractual Clauses)
  • Finalità: Hosting database, autenticazione utenti
  • Privacy Policy: supabase.com/privacy

💳 Stripe (Elaborazione Pagamenti)

  • Dati condivisi: Nome, email, dati carta (processati direttamente da Stripe)
  • Sede: USA/Europa (conforme PCI-DSS e GDPR)
  • Finalità: Elaborazione pagamenti sicuri
  • Privacy Policy: stripe.com/privacy
  • ⚠️ NOI non memorizziamo MAI i dati completi della carta

🤖 Anthropic (AI/Claude API)

  • Dati condivisi: Contenuto delle sessioni di brainstorming (input utente + risposte AI)
  • Sede: USA (con garanzie GDPR)
  • Finalità: Generazione risposte AI degli agenti virtuali
  • Privacy Policy: anthropic.com/privacy
  • ℹ️ Anthropic non utilizza i dati per training modelli (conforme GDPR)

☁️ Vercel (Hosting)

  • Dati condivisi: Dati di log, performance, errori (anonimi)
  • Sede: USA/Global (conforme GDPR)
  • Finalità: Hosting applicazione, CDN, analytics performance
  • Privacy Policy: vercel.com/legal/privacy-policy

Trasferimenti Extra-UE: Alcuni fornitori sono negli USA. Garantiamo trasferimenti sicuri tramite Standard Contractual Clauses (SCC) approvate dalla Commissione Europea.

5. Per Quanto Tempo Conserviamo i Tuoi Dati

  • Dati account attivo: Fino a cancellazione account o 2 anni di inattività
  • Sessioni e report: Fino a cancellazione manuale o chiusura account
  • Dati di pagamento: 10 anni (obbligo fiscale italiano)
  • Log di sicurezza: 12 mesi
  • Dati marketing (con consenso): Fino a revoca consenso

Dopo la scadenza dei termini, i dati vengono eliminati o anonimizzati in modo irreversibile.

6. I Tuoi Diritti (GDPR)

In qualità di cittadino UE, hai i seguenti diritti sui tuoi dati personali:

🔍 Diritto di Accesso (Art. 15 GDPR)

Puoi richiedere una copia di tutti i dati che abbiamo su di te

✏️ Diritto di Rettifica (Art. 16 GDPR)

Puoi correggere dati inesatti o incompleti (modifica in Impostazioni Account)

🗑️ Diritto alla Cancellazione / "Right to be Forgotten" (Art. 17 GDPR)

Puoi richiedere la cancellazione completa dei tuoi dati (elimina account dalle Impostazioni o contattaci per cancellazione assistita)

🚫 Diritto di Limitazione (Art. 18 GDPR)

Puoi chiedere di limitare il trattamento in specifiche circostanze

📦 Diritto alla Portabilità (Art. 20 GDPR)

Puoi ottenere i tuoi dati in formato strutturato (JSON) per trasferirli altrove (funzione "Esporta Dati" in Impostazioni)

✋ Diritto di Opposizione (Art. 21 GDPR)

Puoi opporti al trattamento basato su legittimo interesse (es. marketing, analytics)

🤖 Diritto di Non Profilazione Automatizzata (Art. 22 GDPR)

Non utilizziamo sistemi di decisione automatizzata che producano effetti legali su di te

🔙 Diritto di Revoca Consenso

Puoi revocare il consenso al marketing in qualsiasi momento (link "unsubscribe" nelle email)

📧 Come Esercitare i Tuoi Diritti

Per esercitare uno qualsiasi di questi diritti, contattaci:

Email: andrea.padoan@gmail.com

Ti risponderemo entro 30 giorni come previsto dal GDPR. Potremmo chiederti una verifica dell'identità per sicurezza.

Hai anche il diritto di presentare reclamo al Garante Privacy italiano:
www.garanteprivacy.it

7. Sicurezza dei Dati

Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati:

  • Crittografia: HTTPS/TLS per tutte le comunicazioni, password con hash bcrypt
  • Autenticazione: Sistema sicuro via Supabase con verifica email
  • Database: Backup automatici giornalieri, accesso ristretto
  • Pagamenti: PCI-DSS compliant tramite Stripe (non memorizziamo dati carta)
  • Monitoraggio: Log di sicurezza, rilevamento anomalie
  • Aggiornamenti: Patch di sicurezza regolari

⚠️ Nessun sistema è sicuro al 100%. In caso di violazione dati (data breach), notificheremo gli utenti interessati e il Garante Privacy entro 72 ore come richiesto dal GDPR.

8. Privacy dei Minori

BrainTable è destinato a utenti maggiorenni (18+ anni). Non raccogliamo consapevolmente dati di minori di 18 anni. Se vieni a conoscenza che un minore ha fornito dati personali, contattaci immediatamente per la cancellazione.

9. Link a Siti Terzi

Il nostro sito può contenere link a siti esterni (es. Stripe, Supabase). Non siamo responsabili per le pratiche di privacy di questi siti. Ti invitiamo a leggere le loro Privacy Policy.

10. Modifiche alla Privacy Policy

Ci riserviamo il diritto di modificare questa Privacy Policy per:

  • Aggiornamenti normativi (es. nuove leggi privacy)
  • Nuove funzionalità del servizio
  • Feedback utenti o audit interni

Le modifiche sostanziali saranno notificate via email o banner nel sito. La data "Ultimo aggiornamento" in cima alla pagina indica la versione corrente.

Uso continuato = accettazione: Continuando a utilizzare BrainTable dopo le modifiche, accetti la nuova Privacy Policy.

11. Contatti e DPO

Per domande, richieste o esercizio dei tuoi diritti GDPR:

Email: andrea.padoan@gmail.com

Al momento non è nominato un Data Protection Officer (DPO) in quanto sotto la soglia di elaborazione dati che richiederebbe la nomina obbligatoria.

12. Autorità di Controllo

Garante per la Protezione dei Dati Personali

Piazza Venezia, 11 - 00187 Roma
Tel: +39 06.696771
Fax: +39 06.69677785
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Web: www.garanteprivacy.it

Disclaimer legale: Questo documento è un template conforme al GDPR e alla normativa italiana sulla privacy. Si raccomanda di farlo rivedere da un professionista legale specializzato in data protection prima dell'uso in produzione, per adattarlo alle specificità del business e garantire piena compliance.