Privacy Policy
Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR), del D.Lgs. 196/2003 aggiornato e, per gli utenti residenti in Svizzera, della Legge federale sulla protezione dei dati (nuova LPD / nFADP, in vigore dal 1° settembre 2023).
1. Titolare del trattamento
LarioLabs
Como (CO), Italia
Email: [email protected]
Per ogni richiesta relativa ai tuoi dati personali puoi scriverci a [email protected].
2. Tipi di dati raccolti
Trattiamo solo i dati strettamente necessari ai servizi richiesti:
- Dati del modulo di contatto: nome, cognome, email, eventuale numero di telefono, contenuto del messaggio. Nome, cognome, email e telefono (se fornito) vengono inoltre salvati nella nostra anagrafica CRM su Brevo (vedi sez. 4 e sez. 5).
- Dati di navigazione tecnici: indirizzo IP (anonimizzato in GA4), user agent, pagina visitata, paese (a livello di rete Cloudflare).
- Dati tecnici anti-abuso: al momento dell'invio del modulo, l'indirizzo IP e alcuni segnali tecnici del browser (interazione, caratteristiche del dispositivo) vengono elaborati in modo transitorio dal sistema anti-bot Cloudflare Turnstile e dal meccanismo di limitazione delle richieste (rate limiting), al solo fine di distinguere gli utenti umani dai bot e prevenire l'invio massivo. Questi dati non vengono inseriti nelle email che riceviamo né usati per profilarti.
- Cookie e tecnologie simili: vedi la Cookie Policy.
3. Finalità e basi giuridiche
| Finalità | Base giuridica (art. 6 GDPR) | Conservazione |
|---|---|---|
| Rispondere alle richieste tramite il modulo contatti | art. 6.1.b — esecuzione di misure precontrattuali su tua richiesta | 24 mesi dall'ultimo contatto |
| Invio email automatica di conferma ricezione | art. 6.1.b — esecuzione del servizio richiesto | fino al completamento dello scambio |
| Gestione lead e clienti (CRM "Contatti generali"): salvataggio dei dati del modulo in un'anagrafica privata su Brevo per dialogo 1-a-1, follow-up sulla tua specifica richiesta e gestione dell'eventuale rapporto contrattuale. Mai usata per comunicazioni broadcast o promozionali a tutta la lista. | art. 6.1.b — misure precontrattuali / esecuzione del contratto; art. 6.1.f — legittimo interesse del Titolare alla corretta gestione di lead e rapporto cliente | 24 mesi dall'ultimo contatto utile, salvo prosecuzione del rapporto contrattuale |
| Marketing diretto: invio occasionale di proposte, novità sui servizi, offerte personalizzate via email | art. 6.1.a — consenso esplicito tramite checkbox opzionale nel modulo, confermato in seconda battuta da click su email di verifica (double opt-in) | fino a revoca del consenso o disiscrizione, e comunque non oltre 24 mesi dall'ultima interazione |
| Statistiche aggregate sul sito (Google Analytics 4) | art. 6.1.a — consenso esplicito tramite cookie banner | 14 mesi |
| Analisi aggregate e anonime delle richieste ricevute, per orientare e migliorare i nostri servizi | art. 6.1.f — legittimo interesse del Titolare | fino a 24 mesi, dopodiché solo dato aggregato/anonimizzato |
| Sicurezza, prevenzione di bot e abusi del modulo (Cloudflare Turnstile, rate limiting), anti-spam, log tecnici | art. 6.1.f — legittimo interesse del Titolare a proteggere il sito e i propri sistemi da invii automatizzati e abusi | token di verifica transitorio; log tecnici 30-60 giorni |
| Adempimento di obblighi di legge | art. 6.1.c | per il tempo previsto dalla legge |
4. Modalità del trattamento
I dati sono trattati con strumenti elettronici, con misure di sicurezza adeguate al rischio (cifratura in transito tramite TLS, controllo accessi, autenticazione multifattore, log degli accessi).
Come usiamo i dati che ci invii. Quando compili il modulo di contatto leggiamo e valutiamo manualmente la tua richiesta per prepararti una proposta su misura: questa attività rientra nelle misure precontrattuali richieste da te (art. 6.1.b GDPR) e nella gestione della trattativa commerciale.
Salvataggio nel nostro CRM ("Contatti generali" su Brevo). All'invio del modulo i tuoi dati di contatto (nome, cognome, email, eventuale telefono) vengono salvati in un'anagrafica privata su Brevo (Sendinblue SAS, Francia) denominata "Contatti generali", separata dalla lista marketing. Questa lista costituisce il nostro CRM/sistema di gestione lead e clienti e viene usata esclusivamente per:
- ricontattarti in merito alla tua specifica richiesta o trattativa;
- gestire l'eventuale rapporto contrattuale, una volta che diventi nostro cliente attivo (es. comunicazioni di servizio sul progetto in corso, periodi di chiusura che impattano sulle tue commesse, aggiornamenti contrattuali);
- tenere traccia degli scambi avuti, per non perdere il filo tra una richiesta e l'altra.
La base giuridica è l'art. 6.1.b GDPR (esecuzione di misure precontrattuali e del contratto) e, per la sola componente di gestione interna del lead, l'art. 6.1.f (legittimo interesse del Titolare a un CRM ordinato). Questa lista NON viene mai utilizzata per comunicazioni promozionali broadcast, newsletter o campagne di marketing diretto: per quel tipo di comunicazioni serve un consenso esplicito separato (vedi sez. 4.1) e una lista distinta.
Cosa NON facciamo:
- Non eseguiamo trattamenti automatizzati che producano effetti giuridici sul tuo conto, né profilazione ai sensi dell'art. 22 GDPR (nessun algoritmo che decide automaticamente al posto nostro).
- Non inviamo newsletter, promozioni o comunicazioni broadcast (anche informative, come avvisi di chiusura o novità generiche) ai contatti presenti nel solo CRM "Contatti generali": tali comunicazioni richiedono sempre l'opt-in marketing esplicito.
- Non condividiamo né cediamo i tuoi dati a terzi per finalità commerciali.
4.1 Marketing diretto (opzionale, su tuo consenso)
Nel modulo di contatto è presente una seconda checkbox separata e facoltativa con cui puoi dare il consenso esplicito a ricevere comunicazioni di marketing diretto (proposte di nuovi pacchetti, novità sui servizi, offerte personalizzate). Questo trattamento si basa sull'art. 6.1.a GDPR ed è completamente indipendente dalla risposta alla tua richiesta e dal salvataggio nel CRM (sez. 4): se non spunti la casella, riceverai solo le comunicazioni necessarie a evadere la richiesta e nessuna email broadcast.
Se acconsenti, applichiamo un meccanismo di double opt-in: i tuoi dati (email, nome, cognome, telefono se fornito) vengono trasmessi a Brevo (Sendinblue SAS, Francia), inseriti in stato "in attesa di conferma" in una seconda lista distinta dedicata al marketing (separata da "Contatti generali"), e ricevi una email di verifica con un pulsante "Conferma iscrizione". Solo dopo il tuo click confermativo vieni aggiunto alla mailing list di marketing e potremo inviarti comunicazioni promozionali. Se non confermi entro 7 giorni, l'iscrizione marketing viene scartata (il contatto resta comunque nel CRM "Contatti generali", se non chiedi di rimuoverlo). La data, l'IP e il paese di origine del consenso vengono conservati come prova ai sensi dell'art. 7 GDPR.
Come revocare il consenso:
- Cliccando il link "Disiscriviti" presente in fondo a ogni email di marketing che riceverai. La rimozione dalla lista è immediata.
- Scrivendo a [email protected] con oggetto "Revoca consenso marketing".
- Esercitando uno dei diritti GDPR (vedi sez. 7) tramite la stessa casella [email protected].
La revoca è gratuita, immediata e non comporta alcuna conseguenza sulla relazione commerciale in corso. Restano valide le comunicazioni necessarie a portare a termine eventuali trattative o contratti già in essere.
Retention massima. Anche senza revoca esplicita, rimuoviamo automaticamente dalla lista marketing i contatti che non interagiscono con le nostre comunicazioni (apertura, click, risposta) per oltre 24 mesi, in applicazione del principio di limitazione della conservazione ex art. 5.1.e GDPR.
Analisi aggregate. A fini interni di miglioramento del servizio possiamo elaborare in forma aggregata e anonimizzata le richieste ricevute (es. distribuzione per tipologia di servizio, area geografica, periodo). Queste analisi non consentono di risalire al singolo utente.
4.2 Protezione anti-bot e anti-abuso del modulo
Per proteggere il modulo di contatto da spam e invii automatizzati usiamo Cloudflare Turnstile, un sistema di verifica "anti-bot" alternativo ai classici CAPTCHA. Funziona in modo prevalentemente invisibile: analizza segnali tecnici del browser e dell'interazione per stabilire se sei una persona reale, senza chiederti di risolvere puzzle e senza cookie di tracciamento pubblicitario né profilazione cross-site. I dati tecnici necessari (incluso l'indirizzo IP) sono trattati da Cloudflare, Inc. in qualità di responsabile del trattamento, al solo fine di sicurezza; la base giuridica è il legittimo interesse del Titolare (art. 6.1.f GDPR). Per dettagli, vedi la privacy policy di Cloudflare.
Applichiamo inoltre un rate limiting basato sull'indirizzo IP (un numero massimo di invii del modulo in un breve intervallo di tempo) per prevenire l'abuso dell'endpoint e l'invio massivo di email. A questo scopo l'indirizzo IP è elaborato in modo transitorio e non viene conservato per finalità diverse dalla sicurezza.
5. Destinatari e responsabili esterni
I tuoi dati possono essere trattati dai seguenti fornitori, nominati responsabili del trattamento ex art. 28 GDPR:
| Fornitore | Servizio | Sede dati |
|---|---|---|
| Cloudflare, Inc. | CDN, sicurezza, Workers, Email Routing, Turnstile (verifica anti-bot) e rate limiting | EU (rete globale, opt-in EU su Workers) |
| Sendinblue SAS (Brevo) | Invio email transazionali (notifica + auto-reply), CRM "Contatti generali" per gestione lead/clienti, e — solo con opt-in esplicito — lista marketing con double opt-in | Francia, UE |
| Google Ireland Ltd. | Google Analytics 4 (solo se acconsenti) | Irlanda, UE — alcuni sub-processor extra-UE con SCC |
| Google LLC | Google Fonts (auto-hosted preconnect) | USA — clausole contrattuali standard (SCC) |
L'elenco completo e aggiornato dei responsabili è disponibile su richiesta a [email protected].
6. Trasferimenti extra-UE e flussi con la Svizzera
Eventuali trasferimenti di dati al di fuori dello Spazio Economico Europeo avvengono esclusivamente verso paesi con decisione di adeguatezza della Commissione Europea o sulla base delle Clausole Contrattuali Standard (Standard Contractual Clauses 2021/914) integrate da misure tecniche supplementari (cifratura, pseudonimizzazione, IP anonymization).
Svizzera. La Commissione Europea riconosce la Svizzera come paese con livello di protezione adeguato (decisione 2000/518/CE, rinnovata): i flussi di dati personali da UE/SEE verso la Svizzera non richiedono ulteriori garanzie. Specularmente, dal punto di vista svizzero (art. 16 nLPD e Allegato 1 dell'OLPD), lo Spazio Economico Europeo — Italia inclusa — figura tra gli Stati con livello di protezione adeguato: i dati degli utenti svizzeri possono essere trasferiti verso i nostri sistemi e i nostri fornitori UE (Brevo in Francia, Cloudflare con opt-in EU) senza necessità di SCC o ulteriori garanzie contrattuali.
7. I tuoi diritti
In qualsiasi momento puoi esercitare i diritti previsti dagli artt. 15-22 GDPR:
- Accesso ai tuoi dati (art. 15)
- Rettifica di dati inesatti (art. 16)
- Cancellazione ("diritto all'oblio", art. 17)
- Limitazione del trattamento (art. 18)
- Portabilità in formato strutturato (art. 20)
- Opposizione al trattamento basato sul legittimo interesse (art. 21)
- Revoca del consenso in qualsiasi momento, senza pregiudicare la liceità dei trattamenti pregressi
Per esercitarli scrivi a [email protected]. Risponderemo entro 30 giorni.
8. Diritto di reclamo
Hai sempre il diritto di presentare reclamo all'autorità di controllo competente. A seconda della tua residenza:
- Utenti in Italia e UE/SEE → Garante per la Protezione dei Dati Personali (garanteprivacy.it), oppure l'autorità di controllo dello Stato membro in cui risiedi.
- Utenti in Svizzera → Incaricato federale della protezione dei dati e della trasparenza (IFPDT — in tedesco EDÖB, in francese PFPDT, in inglese FDPIC; edoeb.admin.ch).
Il reclamo è gratuito e non richiede assistenza legale obbligatoria. Ti incoraggiamo comunque a scriverci prima a [email protected]: nella maggior parte dei casi possiamo risolvere la tua richiesta in poche ore.
9. Utenti in Svizzera (nuova LPD / nFADP)
Se risiedi in Svizzera, oltre al GDPR si applica la Legge federale sulla protezione dei dati (nLPD), in vigore dal 1° settembre 2023. I diritti riconosciuti dalla nLPD sono sostanzialmente equivalenti a quelli del GDPR (vedi sez. 7):
- Diritto d'accesso (art. 25 nLPD)
- Diritto di rettifica (art. 32 nLPD)
- Diritto di cancellazione e distruzione (art. 32 nLPD)
- Diritto alla portabilità dei dati (art. 28 nLPD)
- Diritto di opposizione al trattamento
- Diritto di revoca del consenso in qualsiasi momento
- Diritto di non essere sottoposto a decisioni individuali automatizzate con effetti giuridici (art. 21 nLPD)
Per esercitarli scrivi a [email protected]: la procedura e i tempi di risposta (massimo 30 giorni) sono gli stessi previsti per gli utenti UE.
Rappresentante in Svizzera. Ai sensi dell'art. 14 nLPD, i titolari del trattamento con sede al di fuori della Svizzera che trattano dati personali di persone in Svizzera devono nominare un rappresentante svizzero solo quando ricorrono cumulativamente tre condizioni: (a) il trattamento è connesso all'offerta di beni o servizi in Svizzera o all'osservazione del comportamento di persone in Svizzera, (b) il trattamento avviene su larga scala, (c) il trattamento è regolare e (d) comporta un rischio elevato per la personalità. Allo stato attuale LarioLabs non soddisfa cumulativamente queste condizioni (in particolare il requisito della larga scala) e dunque non ha nominato un rappresentante in Svizzera. Qualora il volume di trattamento aumentasse fino a superare queste soglie, aggiorneremo l'informativa indicando il rappresentante designato.
10. Modifiche alla presente informativa
Ci riserviamo di aggiornare questa informativa. La data di ultimo aggiornamento è indicata in alto. Ti invitiamo a consultarla periodicamente.