ai sensi dell'art. 13 Regolamento UE 2016/679 (GDPR)
Specchio Magico & Magick Kit — Versione 1.0 — Febbraio 2026
Il Titolare del Trattamento dei dati personali raccolti tramite il Servizio è Cagnolini Tipitipiti S.r.l., con sede legale in Via Cesarea 11, 16121 Genova (GE), P.IVA IT03007220993.
Per qualsiasi questione relativa al trattamento dei dati personali, l'Utente può contattare il Titolare ai seguenti recapiti:
Email: privacy@cagnolinitipitipiti.it
Posta: Cagnolini Tipitipiti S.r.l. — Ufficio Privacy, Via Cesarea 11, 16121 Genova
Il Titolare non ha l'obbligo di nomina di un Responsabile della Protezione dei Dati (DPO/RPD) ai sensi dell'art. 37 GDPR, in quanto non rientra nelle fattispecie previste. Qualora tale obbligo dovesse insorgere, i dati del DPO saranno comunicati agli Utenti e registrati presso il Garante per la Protezione dei Dati Personali.
Il Titolare raccoglie e tratta le seguenti categorie di dati personali, per le finalità e con le basi giuridiche indicate:
I dati della carta di pagamento non vengono mai trattati direttamente dal Titolare. Il trattamento avviene esclusivamente tramite Stripe, Inc., certificata PCI-DSS Level 1.
Il Titolare conserva solo: ID cliente Stripe, ID abbonamento, stato dell'abbonamento, timestamp delle transazioni — Finalità: gestione del rapporto contrattuale e fatturazione — Base giuridica: esecuzione del contratto e obbligo legale (art. 6.1.c GDPR)
Email e preferenze di comunicazione — Finalità: invio newsletter e comunicazioni promozionali sui Servizi — Base giuridica: consenso esplicito (art. 6.1.a GDPR), con opt-in separato in fase di registrazione o successivamente
Il consenso alla newsletter è facoltativo e indipendente dalla fruizione del Servizio. L'Utente può revocare il consenso in qualsiasi momento tramite il link di disiscrizione presente in ogni email o dall'area profilo.
Il Servizio utilizza modelli di intelligenza artificiale forniti da terze parti per elaborare i prompt inseriti dagli Utenti e generare le risposte. I contenuti inseriti dall'Utente vengono trasmessi ai server dei fornitori AI esclusivamente per l'elaborazione in tempo reale della richiesta.
Il Titolare non utilizza i prompt e le risposte degli Utenti per addestrare modelli di intelligenza artificiale propri o di terze parti, salvo consenso esplicito dell'Utente. I fornitori AI di terze parti sono vincolati contrattualmente a non utilizzare i dati trasmessi per finalità di addestramento secondo le rispettive API terms of service.
I contenuti generati e salvati dall'Utente (Grimorio Personale, stese Kairos) sono conservati nei database del Titolare e rimangono di esclusiva proprietà dell'Utente, come indicato nei Termini e Condizioni di Utilizzo.
Il Titolare si avvale di fornitori esterni (Responsabili del Trattamento ai sensi dell'art. 28 GDPR) per l'erogazione tecnica del Servizio. Con tutti i fornitori è stato stipulato un accordo di responsabilità del trattamento (DPA – Data Processing Agreement).
| Fornitore | Paese / Area | Finalità | Garanzia trasferimento |
|---|---|---|---|
| Supabase, Inc. | USA | Database, autenticazione, storage avatar | SCC (art. 46 GDPR) |
| Vercel, Inc. | USA | Hosting applicazione, CDN | SCC (art. 46 GDPR) |
| Stripe, Inc. | USA | Pagamenti, gestione abbonamenti | SCC + certificazione PCI-DSS |
| Fornitori AI (terze parti) | USA / extra-SEE | Elaborazione prompt e risposte AI | SCC (art. 46 GDPR) |
| Google LLC | USA | Maps/Places API, Analytics | SCC + DPF EU-USA |
| Resend / Provider email | USA / UE | Invio email transazionali e newsletter | SCC o sede UE |
Il Titolare non vende, affitta o cede a terzi i dati personali degli Utenti per finalità pubblicitarie o di profilazione commerciale.
I dati possono essere comunicati a soggetti terzi esclusivamente nei seguenti casi: (i) adempimento di obblighi di legge o ordini dell'autorità giudiziaria; (ii) tutela dei diritti del Titolare in sede giudiziaria; (iii) su richiesta esplicita dell'Utente.
Alcuni dei fornitori indicati nella tabella precedente hanno sede negli Stati Uniti d'America o in altri Paesi extra-SEE. Il trasferimento dei dati personali verso tali Paesi è effettuato nel rispetto delle garanzie previste dagli artt. 44-49 GDPR, in particolare mediante:
L'Utente può richiedere copia delle garanzie adottate per i trasferimenti extra-SEE inviando richiesta a privacy@cagnolinitipitipiti.it.
Il Servizio utilizza cookie tecnici strettamente necessari al funzionamento, tra cui i cookie di sessione per l'autenticazione (gestiti da Supabase Auth). Questi cookie non richiedono il consenso dell'Utente e non possono essere disabilitati senza compromettere il funzionamento del Servizio.
Il Servizio utilizza Google Analytics (Google LLC) per analizzare in forma aggregata il comportamento degli utenti e migliorare il Servizio. Google Analytics utilizza cookie che raccolgono informazioni sul dispositivo, il browser, le pagine visitate e la durata della sessione.
I dati raccolti da Google Analytics sono pseudonimizzati (l'IP viene anonimizzato prima della trasmissione a Google) e non consentono l'identificazione diretta dell'Utente. Il trattamento avviene sulla base del consenso dell'Utente, espresso tramite il banner cookie al primo accesso al Servizio.
L'Utente può revocare il consenso all'uso dei cookie analitici in qualsiasi momento tramite le impostazioni del banner cookie accessibili dal footer del Servizio, oppure installando il componente aggiuntivo per la disattivazione di Google Analytics disponibile all'indirizzo https://tools.google.com/dlpage/gaoptout.
Il form di profilo utilizza le API Google Maps/Places per l'autocompletamento dell'indirizzo geografico (campo facoltativo). Quando l'Utente interagisce con tale campo, i dati di input vengono trasmessi a Google LLC. L'utilizzo di questa funzione è subordinato al consenso dell'Utente e all'accettazione della Privacy Policy di Google (https://policies.google.com/privacy).
Stripe può impostare cookie tecnici necessari al corretto funzionamento del processo di pagamento. Tali cookie sono regolati dalla Privacy Policy di Stripe (https://stripe.com/privacy).
I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5.1.e GDPR):
| Categoria di dati | Periodo di conservazione | Motivazione |
|---|---|---|
| Dati account (email, nome) | Durata account + 90 gg dopo cancellazione | Gestione contrattuale |
| Contenuti generati (grimorio, stese) | Durata account + 90 gg dopo cancellazione | Reversibilità dati utente |
| Avatar profilo | Durata account + 30 gg dopo cancellazione | Storage Supabase |
| Dati di pagamento | 10 anni dalla transazione | Obbligo fiscale/contabile (D.Lgs. 127/2015) |
| Log di utilizzo e sicurezza | 12 mesi | Sicurezza e anti-frode |
| Dati newsletter (consenso) | Fino a revoca del consenso | Legittimazione al trattamento |
| Backup | 30 giorni a rotazione | Continuità operativa |
| Dati degli Affiliati | durata contratto + 10 anni | obblighi fiscali |
Alla scadenza dei termini indicati, i dati sono cancellati in modo sicuro o resi permanentemente anonimi. I dati anonimizzati possono essere conservati per finalità statistiche aggregate senza limiti di tempo, in quanto non più riconducibili a persone fisiche identificabili.
In qualità di interessato ai sensi del GDPR, l'Utente ha il diritto di esercitare i seguenti diritti nei confronti del Titolare:
| Diritto (GDPR) | Come esercitarlo | Tempi di risposta |
|---|---|---|
| Accesso (art. 15) | Email a privacy@cagnolinitipitipiti.it | 30 gg |
| Rettifica (art. 16) | Area profilo o email | 30 gg |
| Cancellazione (art. 17) | Email a privacy@cagnolinitipitipiti.it | 30 gg |
| Limitazione (art. 18) | Email a privacy@cagnolinitipitipiti.it | 30 gg |
| Portabilità (art. 20) | Export JSON/CSV dall'area profilo | 30 gg |
| Opposizione (art. 21) | Email a privacy@cagnolinitipitipiti.it | Immediato (marketing) |
| Revoca consenso (art. 7) | Impostazioni account o email | Immediato |
Il Titolare risponderà alle richieste entro 30 giorni dal ricevimento. Tale termine può essere prorogato di ulteriori 60 giorni in caso di complessità o elevato numero di richieste, con comunicazione motivata all'Utente entro il primo mese.
Le richieste di esercizio dei diritti sono gratuite. In caso di richieste manifestamente infondate, eccessive o ripetitive, il Titolare si riserva di addebitare un contributo spese ragionevole o di rifiutare di soddisfare la richiesta, dandone motivazione.
L'Utente ha altresì il diritto di proporre reclamo all'autorità di controllo competente. In Italia: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it — garante@gpdp.it.
Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio, ai sensi dell'art. 32 GDPR. Le misure implementate includono:
In caso di violazione dei dati personali che possa comportare un rischio per i diritti e le libertà degli Utenti, il Titolare notificherà il Garante entro 72 ore dalla scoperta (art. 33 GDPR) e, se il rischio è elevato, informerà gli Utenti coinvolti senza ingiustificato ritardo (art. 34 GDPR).
Il Servizio è destinato a utenti che abbiano compiuto il diciottesimo anno di età. Il Titolare non raccoglie consapevolmente dati personali di minori di 18 anni. Qualora il Titolare venisse a conoscenza di aver raccolto dati di un minore senza il consenso del genitore o tutore legale, provvederà alla cancellazione immediata di tali dati.
Se un genitore o tutore ritiene che il proprio figlio minore abbia fornito dati personali al Servizio, è pregato di contattare immediatamente il Titolare all'indirizzo privacy@cagnolinitipitipiti.it.
Con il consenso esplicito dell'Utente, il Titolare invia comunicazioni commerciali e newsletter relative ai propri servizi, aggiornamenti, promozioni e contenuti editoriali correlati al Servizio.
Il consenso alla newsletter è acquisito tramite casella di spunta separata (opt-in attivo) in fase di registrazione o in qualsiasi momento successivo dall'area profilo. L'Utente non è mai iscritto automaticamente alla newsletter.
Ogni comunicazione marketing contiene un link di disiscrizione (unsubscribe) funzionante e ben visibile. La disiscrizione è efficace entro 5 giorni lavorativi dalla richiesta. La revoca del consenso al marketing non pregiudica la ricezione delle email transazionali (conferma account, fatture, notifiche di sicurezza) necessarie per l'esecuzione del contratto.
I dati utilizzati per l'invio di newsletter (email, nome, preferenze) sono trattati esclusivamente per tale finalità e non sono condivisi con terze parti per scopi di co-marketing, salvo consenso specifico.
Il Titolare si riserva il diritto di aggiornare la presente Informativa per adeguarla a modifiche normative, tecnologiche o operative. Le modifiche saranno comunicate agli Utenti tramite:
Il proseguimento nell'utilizzo del Servizio dopo la data di entrata in vigore delle modifiche costituisce accettazione della nuova Informativa. Per modifiche che richiedano un nuovo consenso (es. nuove finalità di trattamento), il Titolare richiederà esplicita conferma prima di procedere al nuovo trattamento.
Le versioni precedenti della Privacy Policy sono archiviate e disponibili su richiesta inviata a privacy@cagnolinitipitipiti.it.
La presente Informativa è disciplinata dal Regolamento UE 2016/679 (GDPR) e dal D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (Codice in materia di protezione dei dati personali).
L'autorità di controllo competente per il territorio italiano è il Garante per la Protezione dei Dati Personali:
Indirizzo: Piazza Venezia 11, 00187 Roma
Web: www.garanteprivacy.it
Email: garante@gpdp.it — PEC: protocollo@pec.gpdp.it
Telefono: +39 06 696771
L'Utente può presentare reclamo al Garante in qualsiasi momento, anche senza aver preventivamente contattato il Titolare, qualora ritenga che il trattamento dei propri dati personali violi le disposizioni del GDPR.
Cagnolini Tipitipiti S.r.l. — Via Cesarea 11, 16121 Genova — P.IVA IT03007220993
privacy@cagnolinitipitipiti.it — www.cagnolinitipitipiti.it