Privacy Policy
Informativa sul trattamento dei dati personali ai sensi del GDPR (Regolamento UE 2016/679)
Indice degli Argomenti
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è:
Viral Mind Srl
Via Rialto 48A, 40124 Bologna (BO), Italia
P.IVA: 04228091205
REA: BO 578035
Capitale sociale: €10.000 i.v.
PEC: vm@pec.viralmind.it
Email privacy: privacy@viralmind.it
2. Tipologie di Dati Raccolti
2.1 Dati forniti volontariamente
- Dati anagrafici e di contatto: nome, cognome, email (aziendale e/o personale), numero di telefono
- Dati aziendali: ragione sociale, partita IVA, codice fiscale, indirizzo sede legale/operativa
- Dati di pagamento: coordinate bancarie (solo per bonifici), dati elaborati tramite Stripe (non conserviamo dati carte di credito)
- Dati forniti per l'AI Analyzer: URL del sito web, settore di attività, dimensione aziendale
2.2 Dati raccolti automaticamente
- Dati di navigazione: indirizzo IP, browser, sistema operativo, device, pagine visitate, tempi di permanenza, fonte di traffico
- Dati di geolocalizzazione: solo a livello di paese/città per statistiche aggregate
- Cookie e tecnologie similari: come dettagliato nella Cookie Policy
2.3 Dati raccolti tramite pixel e strumenti di terze parti
- Meta/Facebook Pixel: interazioni con contenuti social, conversioni
- Google Analytics 4: comportamento di navigazione, sorgenti traffico, conversioni
- TikTok Pixel: interazioni pubblicitarie, conversioni
- Microsoft Clarity: registrazioni anonimizzate delle sessioni, heatmap dei click, movimenti del mouse, scroll delle pagine, tempi di interazione (tutti i dati sono pseudonimizzati e non permettono identificazione diretta)
3. Finalità e Base Giuridica del Trattamento
| Finalità | Base Giuridica | Periodo Conservazione |
|---|---|---|
| Erogazione servizi AI | Esecuzione contratto (art. 6.1.b) | Durata contrattuale + tempo necessario tutela diritti |
| Gestione richieste pre-contrattuali | Misure precontrattuali (art. 6.1.b) | 12 mesi o fino a conclusione trattative |
| Fatturazione e adempimenti fiscali | Obbligo di legge (art. 6.1.c) | 10 anni ex art. 2220 c.c. |
| Newsletter e marketing diretto | Consenso (art. 6.1.a) | Fino a revoca o 24 mesi da ultima interazione |
| Analisi AI del sito (AI Analyzer) | Consenso (art. 6.1.a) | 24 mesi o tempo necessario per miglioramento servizio |
| Analisi comportamentale e UX | Consenso (art. 6.1.a) | 30 giorni (Clarity) |
| Sicurezza e prevenzione frodi | Interesse legittimo (art. 6.1.f) | Tempo necessario per finalità di sicurezza (max 24 mesi) |
| Miglioramento servizi | Interesse legittimo (art. 6.1.f) | Fino a anonimizzazione irreversibile |
| Difesa in giudizio | Interesse legittimo (art. 6.1.f) | Fino a prescrizione diritti applicabili |
4. Natura del Conferimento e Conseguenze del Rifiuto
Dati necessari per il contratto
Obbligatori. Il mancato conferimento impedisce l'erogazione dei servizi
Dati per marketing
Facoltativi. Il rifiuto non pregiudica l'utilizzo dei servizi
Cookie non tecnici
Facoltativi. Il rifiuto potrebbe limitare alcune funzionalità
5. Modalità di Trattamento e Misure di Sicurezza
I dati sono trattati con strumenti elettronici e cartacei, applicando misure tecniche e organizzative adeguate:
Tutti i dati in transito
Dati sensibili a riposo
Accessi amministrativi
Principio privilegio minimo
Rilevamento intrusioni
Disaster recovery
Misure Aggiuntive
- Formazione periodica del personale su privacy e sicurezza
- Procedure di incident response e data breach notification
- Monitoraggio continuo e log di sicurezza
5.1 Backup e Disaster Recovery
I dati potrebbero essere conservati in sistemi di backup per periodi aggiuntivi rispetto a quelli indicati, esclusivamente per finalità di disaster recovery e continuità operativa. Tali backup sono crittografati e accessibili solo in caso di necessità tecnica documentata.
6. Categorie di Destinatari
I dati potranno essere comunicati a:
6.1 Responsabili del trattamento (art. 28 GDPR)
- Aruba S.p.A.: hosting e infrastruttura cloud (Italia/UE)
- Stripe Inc.: elaborazione pagamenti (Irlanda/USA con SCC)
- Fornitori servizi email: quando implementati (UE/USA con garanzie)
- Google LLC: analytics e advertising (Irlanda/USA con SCC)
- Meta Platforms Ireland: advertising (Irlanda/USA con SCC)
- TikTok Technology Limited: advertising (Irlanda/Singapore/Cina con SCC)
- Microsoft Corporation: analytics comportamentale tramite Clarity (Irlanda/USA con SCC)
6.2 Altri destinatari
- Commercialisti e consulenti fiscali (obbligo di riservatezza)
- Avvocati in caso di contenzioso (segreto professionale)
- Autorità pubbliche su richiesta vincolante
- Soggetti delegati dall'interessato
7. Trasferimenti Extra-UE
Alcuni fornitori trasferiscono dati fuori dall'UE. Garantiamo protezione adeguata tramite:
- Decisioni di adeguatezza della Commissione Europea (ove disponibili)
- Clausole Contrattuali Standard (SCC) 2021/914
- Valutazione dei rischi paese (Transfer Impact Assessment)
Avvertenza specifica
I trasferimenti verso USA e Cina comportano rischi di accesso da parte di autorità governative locali. Nonostante le garanzie contrattuali, non possiamo escludere completamente tali accessi in base alle leggi locali (FISA, Cloud Act, Cybersecurity Law cinese).
8. Diritti dell'Interessato
Ai sensi degli artt. 15-22 GDPR, hai diritto di:
Accesso (art. 15)
Ottenere conferma e copia dei dati
Rettifica (art. 16)
Correggere dati inesatti
Cancellazione (art. 17)
"Diritto all'oblio" nei casi previsti
Limitazione (art. 18)
Limitare il trattamento in specifici casi
Portabilità (art. 20)
Ricevere dati in formato strutturato
Opposizione (art. 21)
Opporti per motivi legittimi
Revoca consenso (art. 7)
In qualsiasi momento, senza pregiudicare la liceità del trattamento
Decisioni automatizzate (art. 22)
Non essere sottoposto a decisioni automatizzate
Come esercitare i diritti
- Email: privacy@viralmind.it
- PEC: vm@pec.viralmind.it
- Posta: Via Rialto 48A, 40124 Bologna
Rispondiamo entro 30 giorni, prorogabili di 60 giorni in casi complessi con motivazione. L'esercizio dei diritti è gratuito salvo richieste manifestamente infondate o eccessive.
9. Profilazione e Decisioni Automatizzate
AI Analyzer
Il servizio analizza automaticamente i siti web forniti ma:
- NON effettua profilazione degli utenti ai sensi dell'art. 22 GDPR
- NON prende decisioni automatizzate con effetti giuridici
- Genera solo report informativi non vincolanti
- L'utente mantiene pieno controllo sull'uso dei risultati
I pixel di tracciamento possono creare profili pubblicitari presso terze parti (Meta, Google, TikTok) secondo le loro privacy policy.
9.1 Registrazioni delle Sessioni (Microsoft Clarity)
Utilizziamo Microsoft Clarity esclusivamente per migliorare l'usabilità del sito attraverso l'analisi aggregata dei comportamenti. Le registrazioni:
- Sono pseudonimizzate e non correlate a identità reali
- Mascherano automaticamente tutti i campi sensibili (password, carte di credito, dati sanitari)
- Sono utilizzate esclusivamente per debug tecnico e miglioramento UX
- NON sono mai utilizzate per identificare o contattare singoli utenti
- NON sono mai condivise con terzi per finalità diverse dall'analisi tecnica
- Sono accessibili solo a personale tecnico autorizzato con obbligo di riservatezza
L'utente può opporsi in qualsiasi momento disattivando i cookie analitici.
10. Minori
I nostri servizi sono destinati esclusivamente a soggetti che abbiano compiuto 18 anni. Non raccogliamo consapevolmente dati di minori. Se veniamo a conoscenza di aver raccolto dati di minori, provvederemo alla cancellazione immediata.
11. Data Protection Officer (DPO)
Attualmente non abbiamo nominato un DPO in quanto non richiesto dalla natura e scala dei nostri trattamenti. Per qualsiasi questione privacy, contattare direttamente il Titolare ai recapiti sopra indicati.
13. Sicurezza delle Comunicazioni
Email ordinarie: non garantiscono riservatezza. Per comunicazioni contenenti dati sensibili, utilizzare la PEC: vm@pec.viralmind.it
14. Modifiche alla Privacy Policy
Ci riserviamo il diritto di modificare questa policy in qualsiasi momento. Le modifiche sostanziali saranno notificate via email agli utenti registrati con almeno 30 giorni di preavviso. L'uso continuato dei servizi dopo le modifiche costituisce accettazione delle stesse.
15. Legge Applicabile e Foro Competente
Questa privacy policy è regolata dalla legge italiana e dal GDPR. Per controversie non risolvibili amichevolmente, foro esclusivo di Bologna, salvo foro inderogabile del consumatore.
17. Definizioni e Riferimenti Normativi
- GDPR: Regolamento UE 2016/679
- Codice Privacy: D.Lgs. 196/2003 come modificato
- Linee Guida Cookie: Provvedimento Garante 10 giugno 2021
- SCC: Standard Contractual Clauses - Decisione 2021/914/UE
- Interessato: persona fisica identificata o identificabile
- Trattamento: qualsiasi operazione su dati personali
18. Limitazione di Responsabilità per Strumenti di Terze Parti
Viral Mind Srl agisce quale titolare autonomo per i dati raccolti direttamente. Per i trattamenti effettuati da terze parti (Google, Meta, Microsoft, TikTok) attraverso i loro strumenti:
- Abbiamo implementato tutte le misure tecniche disponibili per limitare la raccolta dati
- Abbiamo stipulato accordi di responsabilità del trattamento ove disponibili
- Non siamo responsabili per trattamenti ulteriori effettuati da tali soggetti in qualità di titolari autonomi
- L'utente può esercitare i propri diritti direttamente presso tali soggetti per i trattamenti di loro competenza
16. Diritto di Reclamo
Hai sempre diritto di proporre reclamo all'autorità di controllo:
Garante per la Protezione dei Dati Personali
Piazza Venezia 11, 00187 Roma
Email: protocollo@gpdp.it | PEC: protocollo@pec.gpdp.it | Tel: +39 06 696771
Viral Mind Srl si impegna a proteggere la privacy degli utenti nel rispetto della normativa vigente.
Per qualsiasi domanda, non esitare a contattarci.