Privacy & Cookie Policy
Ultimo aggiornamento: 16 aprile 2026
1. Titolare del Trattamento
Synaptica Solution di Matteo Molin
Viale Bartolomeo d'Alviano 38, 31100 Treviso (TV), Italia
P.IVA: IT04649320266
Email: Clicca per vedere email
2. Finalita del trattamento
Raccogliamo dati personali tramite il modulo di contatto esclusivamente per rispondere alle richieste inviate dagli utenti.
3. Dati raccolti
- Dati identificativi (nome, email)
- Testo del messaggio inviato tramite modulo
- Dati di navigazione (solo con consenso)
4. Cookie e Tecnologie di Tracciamento
4.1 Cookie Necessari (sempre attivi)
Cookie tecnici essenziali per il funzionamento del sito. Non richiedono consenso.
| Nome | Fornitore | Finalita | Durata |
|---|---|---|---|
| synaptica_cookie_consent | Synaptica | Memorizza le preferenze cookie | 1 anno |
4.2 Cookie di Analisi (richiedono consenso)
Ci aiutano a capire come gli utenti interagiscono con il sito.
| Nome | Fornitore | Finalita | Durata |
|---|---|---|---|
| _ga, _ga_* | Google Analytics | Statistiche di utilizzo anonimizzate | 2 anni |
| Flowlytics | Synaptica | Analisi comportamento utenti | Sessione |
4.3 Cookie di Marketing (richiedono consenso)
Utilizzati per mostrare annunci pertinenti.
| Nome | Fornitore | Finalita | Durata |
|---|---|---|---|
| _gcl_* | Google Ads | Tracciamento conversioni pubblicitarie | 90 giorni |
| _fbp | Meta (Facebook) | Tracciamento conversioni e remarketing | 90 giorni |
4.4 Gestione delle preferenze
Puoi modificare le tue preferenze cookie in qualsiasi momento cliccando sull'icona delle impostazioni cookie in basso a sinistra nella pagina, oppure cancellando i cookie dal tuo browser.
5. Base giuridica del trattamento
- Cookie necessari: Legittimo interesse (funzionamento del sito)
- Cookie analisi/marketing: Consenso esplicito dell'utente
- Modulo contatto: Esecuzione di misure precontrattuali
6. Diritti dell'utente (GDPR Art. 15-22)
Hai diritto di:
- Accedere ai tuoi dati personali
- Rettificare dati inesatti
- Cancellare i tuoi dati ("diritto all'oblio")
- Limitare il trattamento
- Portabilita dei dati
- Opporti al trattamento
- Revocare il consenso in qualsiasi momento
Per esercitare questi diritti, scrivi a Clicca per vedere email.
7. Conservazione dei dati
I dati inviati tramite il modulo di contatto saranno conservati per il tempo necessario a fornire risposta e successivamente per un massimo di 24 mesi per eventuali comunicazioni commerciali, salvo revoca del consenso.
8. Condivisione, Trasferimento e Divulgazione dei Dati
Non vendiamo, affittiamo o scambiamo dati personali con terze parti per finalita di marketing. I dati degli utenti, inclusi i Google User Data ottenuti tramite le API Google, vengono condivisi esclusivamente con i seguenti sub-processor e categorie di destinatari, ciascuno vincolato da accordi di trattamento dati (DPA) conformi al GDPR:
8.1 Sub-processor dell'infrastruttura
| Fornitore | Finalita | Dati trattati | Regione |
|---|---|---|---|
| Amazon Web Services (AWS) — Lightsail, S3, SES, CloudFront | Hosting applicativo, storage, invio email transazionali, CDN | Dati account, contenuti utente, token OAuth criptati, log | EU (eu-central-1, Francoforte) |
| Microsoft Azure OpenAI Service | Funzionalita AI (content generation, sentiment analysis, chatbot) | Solo testi pseudonimizzati, nessun PII | EU (Azure EU data residency) |
| Stripe, Inc. | Processamento pagamenti abbonamenti | Email, dati di fatturazione (non memorizziamo carte) | US / EU (PCI-DSS Level 1) |
| Sentry (Functional Software, Inc.) | Error monitoring e diagnostica | Stack trace, URL, user ID pseudonimizzato | EU |
| OpenAI, LLC (opzionale, solo con API key utente) | Generazione creativa on-demand | Prompt e output, mai dati Google API | US (SCC) |
8.2 Piattaforme integrate (dati in uscita solo per azioni dell'utente)
Quando l'utente attiva esplicitamente una integrazione, Flowlytics invia dati alle rispettive piattaforme per conto dell'utente:
- Google (YouTube, Ads, Analytics, Search Console): invio di upload video, conversioni (CAPI), lettura metriche — solo sotto controllo diretto dell'utente
- Meta (Facebook, Instagram): publishing organico, Conversion API
- LinkedIn, TikTok, Reddit: publishing e metriche campagne
8.3 Autorita pubbliche
Possiamo divulgare dati personali quando richiesto da legge, ordine giudiziario, o per proteggere diritti, sicurezza e proprieta nostra e dei nostri utenti.
8.4 Operazioni societarie
In caso di fusione, acquisizione o vendita di asset, i dati potrebbero essere trasferiti alla nuova entita, previa notifica agli utenti e nel rispetto della presente policy.
8.5 Trasferimenti extra-UE
I trasferimenti verso paesi terzi (es. USA) avvengono esclusivamente sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914), oltre a misure supplementari tecniche (crittografia end-to-end) e organizzative ove applicabile.
9. Misure di Protezione dei Dati
Applichiamo misure tecniche e organizzative proporzionate al rischio, conformi all'Art. 32 GDPR, per proteggere i dati personali e in particolare i dati sensibili (inclusi i Google User Data e i token OAuth):
9.1 Protezione in transito
- Tutte le comunicazioni client-server e server-server sono cifrate con TLS 1.2+ (HTTPS obbligatorio, HSTS attivo)
- Certificati gestiti da Let's Encrypt / AWS Certificate Manager, rinnovo automatico
9.2 Protezione a riposo
- Database cifrati con AES-256 (SQLite encrypted, S3 server-side encryption)
- I token OAuth Google (access token e refresh token) sono cifrati a livello applicativo con chiave dedicata (AES-256-GCM) prima della persistenza
- I dati PII (email, telefono, nome) sono pseudonimizzati e cifrati con chiave dedicata (`PII_ENCRYPTION_KEY`)
- Backup crittografati, retention 30 giorni, stored su bucket EU separato
9.3 Controllo degli accessi
- Autenticazione utenti via JWT firmati (HS256) con scadenza breve e refresh token rotazionali
- Autorizzazione basata su ruoli (RBAC) e isolamento multi-tenant: ogni utente accede esclusivamente ai propri dati
- Accesso al server di produzione solo via chiave SSH, limitato al personale autorizzato di Synaptica
- Tutti i segreti (API key, chiavi di cifratura) sono gestiti tramite variabili d'ambiente, mai committati in Git
9.4 Monitoraggio e audit
- Sentry per error tracking con PII redaction
- Watchdog system interno con alert su anomalie di sicurezza (login sospetti, rate limit, 5xx)
- Log accessi conservati per 90 giorni
- Audit trimestrale dei sub-processor e delle vulnerabilita (npm audit, dipendenze, CVE monitoring)
9.5 Data minimization e retention
- Raccogliamo esclusivamente i dati necessari allo scope dichiarato
- I Google User Data vengono cancellati entro 30 giorni dalla revoca del consenso (OAuth disconnect) o dalla chiusura dell'account
- L'utente puo disconnettere qualsiasi account Google in qualsiasi momento da Settings → Integrations, oppure revocare l'accesso da https://myaccount.google.com/permissions
9.6 Gestione degli incidenti
In caso di data breach, notificheremo il Garante Privacy entro 72 ore (Art. 33 GDPR) e gli utenti interessati senza ingiustificato ritardo (Art. 34 GDPR).
10. Google API Services — Limited Use Disclosure
Flowlytics accede ai dati degli utenti Google tramite le API ufficiali (YouTube Data API, Google Ads API, Google Analytics Data API, Google Search Console API, Google OAuth) esclusivamente per erogare le funzionalita richieste dall'utente.
Uso e trasferimento delle informazioni ricevute dalle Google API da parte di Flowlytics aderiscono alla Google API Services User Data Policy, inclusi i requisiti di Limited Use.
In particolare, i dati Google ricevuti:
- NON vengono utilizzati per servire pubblicita, incluso il remarketing o la pubblicita personalizzata
- NON vengono venduti a terzi
- NON vengono utilizzati per addestrare modelli di intelligenza artificiale generalizzati o di terze parti
- NON vengono letti da esseri umani, salvo: (i) consenso esplicito dell'utente, (ii) necessita per finalita di sicurezza (es. investigazione abusi), (iii) obbligo di legge, (iv) necessita operative limitate al debugging di errori anonimizzati
- Vengono utilizzati esclusivamente per fornire o migliorare le funzionalita visibili all'utente all'interno di Flowlytics
Scope Google richiesti e finalita:
| Scope | Finalita |
|---|---|
youtube.upload | Caricare video generati dall'utente sul canale YouTube collegato |
youtube.readonly | Leggere metriche video, audience e commenti del canale dell'utente |
adwords | Leggere/gestire campagne Google Ads dell'utente, invio conversioni (Enhanced Conversions) |
analytics.readonly | Leggere report GA4 per dashboard e attribution |
webmasters.readonly | Leggere performance di Search Console per content intelligence |
openid, email, profile | Login SSO e identificazione utente |
Revoca e cancellazione: l'utente puo revocare l'accesso ai dati Google in qualsiasi momento:
- Dall'interfaccia Flowlytics: Settings → Integrations → Disconnect
- Dall'account Google: https://myaccount.google.com/permissions
- Via email a privacy@synaptica-solution.com
Entro 30 giorni dalla revoca, tutti i token memorizzati vengono cancellati e i dati Google cache-ati vengono eliminati dai nostri sistemi.
11. Sistemi di Intelligenza Artificiale e Anonimizzazione
Alcuni servizi Synaptica (SideMindBot, chatbot WhatsApp) utilizzano sistemi di Intelligenza Artificiale erogati tramite Microsoft Azure OpenAI Service (data residency EU) per l'assistenza clienti. In conformita all'AI Act (Reg. UE 2024/1689), ti informiamo che:
- Quando interagisci con i nostri assistenti virtuali, stai comunicando con un sistema AI
- I tuoi dati personali vengono pseudonimizzati prima dell'elaborazione AI (GDPR Art. 4.5)
- L'AI elabora solo token anonimi, non i tuoi dati reali
- I dati originali restano protetti con crittografia AES-256 sui nostri server EU
- I dati non vengono utilizzati da Microsoft per l'addestramento dei modelli AI
- Puoi richiedere l'intervento di un operatore umano in qualsiasi momento
Per maggiori dettagli, consulta la nostra Informativa AI.
12. Profilazione Automatizzata (Art. 22 GDPR)
Nell'ambito dei servizi di assistenza automatizzata, effettuiamo i seguenti trattamenti automatizzati su dati pseudonimizzati:
- Lead scoring: assegnazione di un punteggio di interesse (0-100) basato sulle interazioni, per personalizzare l'assistenza
- Analisi del sentiment: valutazione del tono emotivo dei messaggi, per attivare l'escalation automatica verso un operatore umano in caso di insoddisfazione
- Classificazione dell'intento: identificazione del tipo di richiesta per instradare la conversazione verso l'agente piu appropriato
Questi trattamenti non producono decisioni con effetti legali o significativamente incidenti sulla tua persona. Hai diritto in qualsiasi momento a:
- Opporti alla profilazione (Art. 21 GDPR)
- Richiedere l'intervento umano
- Ottenere la cancellazione dei dati di profilazione (Art. 17 GDPR)
Per esercitare questi diritti, scrivi a Clicca per vedere email.
13. Modifiche alla policy
Ci riserviamo il diritto di modificare la presente policy. Le modifiche saranno pubblicate su questa pagina con indicazione della data di aggiornamento.
14. Contatti e reclami
Per domande sulla privacy: Clicca per vedere email
Hai il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali: www.garanteprivacy.it