Informativa sulla Privacy
Informativa sulla Privacy
Ultimo aggiornamento: 25 aprile 2026 Versione: 1.0
1. Titolare del Trattamento
GiBSeS OÜ Sede legale: Tallinn, Estonia Codice di registrazione: [INSERIRE CODICE REGISTRO COMMERCIALE ESTONIA] Email privacy: privacy@boardoflegends.com PEC / email certificata: [INSERIRE SE APPLICABILE]
Ai sensi del Regolamento UE 2016/679 ("GDPR") e della normativa nazionale applicabile, GiBSeS OÜ è il Titolare del trattamento dei dati personali raccolti tramite la piattaforma Board of Legends, accessibile agli indirizzi boardoflegends.com (portale pubblico) e app.boardoflegends.com (applicazione utenti registrati).
2. Tipologie di Dati Raccolti
2.1 Dati forniti direttamente dall'utente
In fase di registrazione:
- Indirizzo email
- Password (memorizzata in forma crittografata tramite algoritmo bcrypt/scrypt, mai in chiaro)
- Nome visualizzato (display name) — opzionale, modificabile
- Locale preferito (lingua interfaccia)
In fase di sottoscrizione abbonamento:
- Dati di fatturazione (nome, indirizzo, partita IVA se applicabile)
- Dati di pagamento (gestiti esclusivamente da Stripe Inc., il Titolare non conserva numeri di carta)
- Paese di residenza fiscale
Durante l'uso del servizio:
- Contenuto dei messaggi scritti alle Leggende (personas AI)
- Idee, progetti, dati aziendali volontariamente condivisi nelle sessioni
- Documenti caricati come knowledge base (Advisor+, Strategist+, Board Room)
- Personas personalizzate create dall'utente
- Avatar (immagine profilo) — opzionale
2.2 Dati raccolti automaticamente
Dati tecnici:
- Indirizzo IP
- User agent browser
- Lingua del browser
- Timestamp delle richieste
- Log di errore e diagnostica
Dati di utilizzo:
- Sessioni avviate, durata, fase raggiunta
- Documenti generati (tipo, dimensione, timestamp)
- Sparks consumati
- Interazioni con l'interfaccia
Cookie e tecnologie simili: vedi sezione 9 e la nostra Cookie Policy dedicata.
2.3 Dati NON raccolti
Il Titolare dichiara espressamente di non raccogliere:
- Dati biometrici
- Dati sanitari
- Dati relativi a opinioni politiche, religiose, orientamento sessuale, appartenenza sindacale
- Dati di minori sotto i 16 anni (il servizio non è rivolto a minori)
3. Finalità del Trattamento e Basi Giuridiche
| Finalità | Base giuridica (art. 6 GDPR) | Dati trattati |
|---|---|---|
| Erogazione del servizio (account, sessioni AI, generazione documenti) | Esecuzione del contratto (art. 6.1.b) | Tutti i dati di registrazione e utilizzo |
| Gestione fatturazione e pagamenti | Esecuzione del contratto + obblighi legali (art. 6.1.b + 6.1.c) | Dati fatturazione, dati fiscali |
| Sicurezza della piattaforma (prevenzione abusi, frodi) | Legittimo interesse (art. 6.1.f) | Log tecnici, IP, timestamp |
| Comunicazioni di servizio (conferma email, notifiche abbonamento) | Esecuzione del contratto (art. 6.1.b) | Email, display name |
| Newsletter e marketing | Consenso (art. 6.1.a) — opt-in esplicito | Email, display name |
| Adempimenti fiscali e contabili | Obblighi legali (art. 6.1.c) | Dati fatturazione |
| Analisi aggregata uso piattaforma | Legittimo interesse (art. 6.1.f) | Dati di utilizzo anonimizzati |
Il consenso per newsletter è revocabile in qualsiasi momento tramite il link "Annulla iscrizione" presente in ogni email o dalle impostazioni account.
4. Modalità del Trattamento
I dati sono trattati con strumenti elettronici, protetti da:
- Cifratura TLS 1.3 per tutte le comunicazioni in transito
- Cifratura at-rest sui database (PostgreSQL) e storage oggetti (MinIO)
- Password memorizzate tramite hash crittografici con salt univoco
- Access control basato su ruoli (RBAC) per accessi amministrativi
- Audit log delle operazioni sensibili
- Backup giornalieri cifrati
- Autenticazione a due fattori disponibile per tutti gli account (raccomandata per account amministrativi)
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, proporzionate al rischio del trattamento.
5. Conservazione dei Dati
| Categoria | Periodo di conservazione |
|---|---|
| Account attivo | Per tutta la durata del rapporto contrattuale |
| Account dopo richiesta cancellazione | Grace period 30 giorni (recupero possibile), poi eliminazione o anonimizzazione |
| Dati fatturazione | 10 anni (obbligo fiscale italiano/UE) |
| Log tecnici e di sicurezza | 12 mesi |
| Contenuto sessioni (messaggi, documenti generati) | Per tutta la durata del contratto + 90 giorni dopo la disattivazione, salvo richiesta anticipata di cancellazione |
| Documenti caricati come knowledge base | Fino a eliminazione da parte dell'utente o chiusura account |
| Backup | Retention 30 giorni rotanti |
Dopo i periodi sopra indicati, i dati sono cancellati o anonimizzati in modo irreversibile, salvo obblighi legali di conservazione.
6. Destinatari dei Dati (Data Processor)
I dati possono essere trasferiti ai seguenti soggetti, ciascuno designato come Responsabile del trattamento ai sensi dell'art. 28 GDPR:
6.1 Fornitori di infrastruttura
- Contabo GmbH (Germania): hosting server VPS
- Hetzner Online GmbH (Germania, se applicabile): backup storage
- Base trasferimento: intra-UE, non applicabile trasferimento extra-UE
6.2 Fornitori di servizi LLM (intelligenza artificiale)
- Anthropic PBC (USA): modelli Claude (Haiku, Sonnet, Opus)
- OpenAI LLC (USA): eventuali modelli GPT per funzionalità specifiche
- Google LLC (USA): eventuali modelli Gemini per funzionalità specifiche
Trasferimento extra-UE: i fornitori sopra indicati operano negli Stati Uniti. Il trasferimento avviene sulla base di:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
- Adesione al Data Privacy Framework UE-USA (DPF) ove applicabile
- Misure supplementari: cifratura in transito e at-rest, minimizzazione dei dati, retention controllata
I contenuti trasmessi ai fornitori LLM non vengono utilizzati per addestrare i modelli pubblici (opt-out contrattuale verificato con Anthropic, OpenAI, Google).
6.3 Fornitori di pagamento
- Stripe Payments Europe Ltd (Irlanda): elaborazione pagamenti
- Stripe Inc. (USA): servizi di supporto, sulla base di SCC + DPF
6.4 Fornitori di comunicazione
- Resend / [INSERIRE PROVIDER EMAIL] — invio email transazionali
- Google LLC (USA) per eventuale uso di Google Workspace lato Titolare
6.5 Altri destinatari
- Consulenti legali, fiscali, contabili del Titolare, vincolati da segreto professionale
- Autorità pubbliche, su richiesta conforme alla legge
I dati non vengono venduti, ceduti o scambiati con terze parti per finalità di marketing proprio di tali terze parti.
7. Diritti dell'Interessato
Ai sensi degli artt. 15-22 GDPR, hai il diritto di:
| Diritto | Descrizione | Come esercitarlo |
|---|---|---|
| Accesso (art. 15) | Ottenere conferma del trattamento e copia dei dati | Impostazioni account → "Esporta i miei dati" oppure email a privacy@boardoflegends.com |
| Rettifica (art. 16) | Correggere dati inesatti | Impostazioni account, campi modificabili |
| Cancellazione / oblio (art. 17) | Ottenere la cancellazione dei dati | Impostazioni account → "Elimina account" (grace period 30 giorni) |
| Limitazione (art. 18) | Limitare il trattamento in casi specifici | Email a privacy@boardoflegends.com |
| Portabilità (art. 20) | Ricevere i dati in formato strutturato e interoperabile | Impostazioni account → "Esporta i miei dati" (formato JSON) |
| Opposizione (art. 21) | Opporsi al trattamento basato su legittimo interesse | Email a privacy@boardoflegends.com |
| Revoca del consenso | Revocare consensi prestati (es. newsletter) | Link "Annulla iscrizione" nelle email o impostazioni account |
| Reclamo (art. 77) | Presentare reclamo all'autorità di controllo | Autorità di controllo estone (AKI - Andmekaitse Inspektsioon) o l'autorità del paese di residenza abituale (in Italia: Garante Privacy www.gpdp.it) |
Tempi di risposta: massimo 30 giorni dalla ricezione della richiesta, prorogabili di ulteriori 60 giorni per richieste complesse (con comunicazione motivata all'interessato).
Identità del richiedente: il Titolare può richiedere informazioni aggiuntive per verificare l'identità prima di dare seguito alla richiesta, al fine di proteggere i dati da accessi non autorizzati.
8. Decisioni Automatizzate e Profilazione
Il servizio Board of Legends non effettua decisioni automatizzate con effetti legali sull'utente ai sensi dell'art. 22 GDPR.
Le risposte delle Leggende (personas AI) e i documenti generati sono contenuti creati con intelligenza artificiale, forniti a scopo di supporto decisionale dell'utente. L'utente rimane sempre il decisore finale. I contenuti AI possono contenere inesattezze e non sostituiscono consulenza professionale legale, finanziaria, medica o di altro tipo specialistica.
9. Cookie e Tecnologie Simili
Il servizio utilizza cookie tecnici strettamente necessari al funzionamento (session management, autenticazione, preferenze di lingua) che non richiedono consenso ai sensi dell'art. 122 Codice Privacy.
Per cookie analitici, di funzionalità, di targeting o di profilazione, il consenso è richiesto tramite banner cookie conforme alle Linee Guida EDPB 03/2022 e normativa italiana (Provvedimento Garante 2021).
Dettagli completi nella Cookie Policy dedicata.
10. Sicurezza dei Dati e Data Breach
In caso di violazione dei dati personali ("data breach") che possa presentare un rischio per i diritti e le libertà degli interessati, il Titolare:
- Notifica l'evento all'autorità di controllo competente entro 72 ore dalla conoscenza (art. 33 GDPR)
- Comunica la violazione agli interessati senza ingiustificato ritardo qualora il rischio sia elevato (art. 34 GDPR)
- Mantiene un registro interno di tutte le violazioni
11. Minori
Il servizio Board of Legends è rivolto esclusivamente a maggiorenni (18+) o a minori autorizzati dal genitore/tutore secondo le leggi applicabili nel paese di residenza, con un'età minima assoluta di 16 anni (soglia GDPR).
Il Titolare non raccoglie consapevolmente dati di minori sotto i 16 anni. Qualora venga a conoscenza di tale evento, provvederà all'immediata cancellazione dei dati.
12. Trasferimenti Internazionali
Come indicato alla sezione 6, alcuni trattamenti comportano il trasferimento dei dati verso paesi terzi (principalmente USA) per i servizi LLM e Stripe.
Garanzie applicate:
- Clausole Contrattuali Standard (SCC) secondo Decisione di Esecuzione (UE) 2021/914
- Data Privacy Framework UE-USA (ove il fornitore sia certificato)
- Misure supplementari tecniche (cifratura) e organizzative (minimizzazione, retention)
L'utente può richiedere copia delle garanzie applicate scrivendo a privacy@boardoflegends.com.
13. Modifiche alla Presente Informativa
Il Titolare si riserva il diritto di aggiornare la presente Informativa. Le modifiche sostanziali saranno comunicate tramite:
- Avviso in evidenza sulla piattaforma
- Email agli utenti registrati (per modifiche che impattano i trattamenti già in corso)
- Versioning pubblico con data di ultimo aggiornamento
L'uso continuato del servizio dopo la notifica costituisce accettazione della versione aggiornata, fatta salva la facoltà dell'utente di revocare il consenso o chiudere l'account.
14. Contatti
Per qualsiasi questione relativa al trattamento dei dati personali:
Email: privacy@boardoflegends.com Indirizzo postale: GiBSeS OÜ, [INSERIRE INDIRIZZO COMPLETO TALLINN]
Data Protection Officer (DPO): [INSERIRE SE DESIGNATO — il DPO è obbligatorio se rientri nei casi art. 37 GDPR, es. trattamento sistematico su larga scala. Valutare con legale.]
Autorità di controllo estone: Andmekaitse Inspektsioon (AKI) Tatari 39, Tallinn 10134 www.aki.ee
Per utenti italiani: Garante per la protezione dei dati personali www.gpdp.it
Questa Informativa è redatta in italiano. La versione italiana prevale in caso di discrepanze con altre lingue.