Documento legale
Privacy Policy
Informativa sul trattamento dei dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR) · Ultima revisione: 5 giugno 2026
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali raccolti tramite il servizio COSMO Signal ("Servizio" o "COSMO") è:
Ismaele Michelotti — impresa individuale
Partita IVA: IT02948780305 · Codice Fiscale: MCHSML94L22C758H
Sede: Località Soleschiano 8/A, 33044 Manzano (UD), Italia
Email: privacy@cosmosignal.app
Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendone i presupposti di obbligatorietà ai sensi dell'art. 37 GDPR.
2. Dati personali raccolti
COSMO raccoglie le seguenti categorie di dati:
- ▸Dati di registrazione e account: indirizzo email, nome (facoltativo), stato di verifica dell'email, preferenze di comunicazione, token di sessione sicuro archiviato nel database.
- ▸Dati di profilo aziendale (facoltativi): ragione sociale dell'azienda dell'Utente, settore di attività, codice ATECO, fascia di fatturato, spese annue per categoria di costo (carburante, energia, gas, materie prime, freight), esposizione ai tassi di cambio, categoria di importazione prevalente.
- ▸Dati relativi ai fornitori dell'Utente (facoltativi): paese di origine, eventuale paese dell'intermediario, categoria merceologica, percentuale di spesa, natura di intermediario. Per il trattamento di tali dati si veda la sezione 8.
- ▸Dati di utilizzo del Servizio: variabili monitorate, scenari configurati, soglie di alert, decisioni operative documentate dall'Utente, snapshot di esposizione, cronologia delle previsioni.
- ▸Dati di pagamento: gestiti integralmente da Stripe Inc. COSMO non archivia mai i dati della carta di pagamento sui propri server; riceve unicamente un identificativo cliente, un identificativo di abbonamento e le ultime quattro cifre dello strumento di pagamento.
- ▸Dati della lista d'attesa Business: email, dimensione aziendale, principale voce di costo, disponibilità di spesa indicata. Raccolti esclusivamente per contattare l'interessato in merito al piano Business.
- ▸Dati di prenotazione call: qualora l'Utente prenoti una consulenza tramite il calendario integrato (Calendly), vengono trattati nome, email e fascia oraria selezionata.
- ▸Dati tecnici e di sicurezza: indirizzo IP, user agent, timestamp delle richieste, log di accesso, segnalazioni di errore. Conservati secondo i termini della sezione 4.
3. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Registrazione, autenticazione (magic link) e accesso al Servizio | Esecuzione del contratto (art. 6 c. 1 lett. b) |
| Calcolo delle previsioni personalizzate sui dati aziendali e di spesa | Esecuzione del contratto (art. 6 c. 1 lett. b) |
| Invio di comunicazioni transazionali (email di accesso, conferme, fatture) | Esecuzione del contratto (art. 6 c. 1 lett. b) |
| Invio del digest informativo settimanale | Esecuzione del contratto (art. 6 c. 1 lett. b), con opt-out in qualsiasi momento |
| Fatturazione e adempimenti contabili e fiscali | Obbligo legale (art. 6 c. 1 lett. c) |
| Risposta alle richieste della lista d'attesa Business | Interesse legittimo (art. 6 c. 1 lett. f) |
| Gestione delle richieste di prenotazione call | Misure precontrattuali (art. 6 c. 1 lett. b) |
| Analisi del comportamento di utilizzo del prodotto (PostHog) | Consenso (art. 6 c. 1 lett. a) · vedi sezione 7 |
| Invio di eventuali newsletter o aggiornamenti commerciali | Consenso (art. 6 c. 1 lett. a) · revocabile in qualsiasi momento |
| Sicurezza del Servizio, prevenzione frodi, monitoraggio errori | Interesse legittimo (art. 6 c. 1 lett. f) |
Il conferimento dei dati di registrazione è necessario per l'erogazione del Servizio: il loro mancato conferimento impedisce l'accesso. Il conferimento dei dati di profilo aziendale e dei dati fornitore è facoltativo; in loro assenza alcune funzionalità di personalizzazione non sono disponibili.
4. Periodi di conservazione
- ▸ Dati di account e profilo: per la durata del rapporto, più 12 mesi dalla cessazione; in caso di cancellazione dell'account, retention di 30 giorni per consentire il ripristino, poi cancellazione definitiva.
- ▸ Dati di fatturazione: 10 anni, in conformità agli obblighi fiscali italiani.
- ▸ Log tecnici e di accesso: massimo 12 mesi.
- ▸ Segnalazioni di errore (Sentry): 90 giorni.
- ▸ Backup del database: 30 giorni.
- ▸ Lista d'attesa Business: fino alla richiesta di cancellazione dell'interessato, o al massimo 2 anni dall'iscrizione.
- ▸ Comunicazioni email (Resend): secondo le politiche di Resend, normalmente 30–90 giorni.
5. Destinatari e responsabili del trattamento
Per l'erogazione del Servizio, il Titolare si avvale dei seguenti responsabili del trattamento:
| Fornitore | Sede società | Localizzazione dati | Finalità | Garanzia trasferimento |
|---|---|---|---|---|
| Vercel Inc. | USA | USA / edge UE | Hosting e CDN | EU-U.S. DPF + SCC |
| Supabase Inc. | USA | UE (eu-west-2) | Database | EU-U.S. DPF + SCC |
| Stripe Inc. | USA | USA | Pagamenti e fatturazione | EU-U.S. DPF + SCC |
| Resend Inc. | USA | USA | Email transazionali | EU-U.S. DPF + SCC |
| Functional Software Inc. (Sentry) | USA | USA | Monitoraggio errori | EU-U.S. DPF + SCC |
| PostHog Inc. | USA | UE (eu.posthog.com) | Analisi del prodotto | EU-U.S. DPF + SCC |
| ImprovMX SAS | Francia (UE) | UE | Inoltro email in entrata | Trasferimento intra-UE |
| Calendly LLC | USA | USA | Prenotazione call | EU-U.S. DPF + SCC |
| TeamSystem S.p.A. (Fatture in Cloud) | Italia | UE | Fatturazione elettronica SDI | Trasferimento intra-UE |
L'elenco aggiornato dei responsabili è disponibile su richiesta scrivendo a privacy@cosmosignal.app.
6. Trasferimento dei dati verso paesi terzi
Alcuni responsabili hanno sede negli Stati Uniti (paese terzo rispetto all'UE). I relativi trasferimenti avvengono sulla base dell'EU-U.S. Data Privacy Framework (Decisione di adeguatezza della Commissione Europea del 10 luglio 2023) e, in via aggiuntiva, delle Clausole Contrattuali Standard adottate con Decisione di Esecuzione (UE) 2021/914. Copia delle garanzie applicate è disponibile su richiesta scrivendo a privacy@cosmosignal.app.
7. Cookie e tecnologie di tracciamento
COSMO utilizza:
- ▸ Cookie tecnici essenziali: necessari per l'autenticazione dell'Utente (NextAuth) e per la sicurezza durante la fase di pagamento (Stripe). Non richiedono consenso ai sensi dell'art. 122, comma 1, D.Lgs. 196/2003 e del Provvedimento del Garante n. 231 del 10 giugno 2021.
- ▸ PostHog Analytics (hosting UE): analisi del comportamento di prodotto e dei funnel di conversione, con dati ospitati nei datacenter europei (eu.posthog.com). L'autocapture è disabilitato: vengono registrati solo eventi di prodotto specifici, senza raccolta di contenuti né fingerprinting. Il trattamento è subordinato al consenso esplicito dell'Utente, raccolto tramite il banner cookie; in assenza di consenso, PostHog non viene attivato. Privacy policy PostHog →
COSMO non utilizza cookie pubblicitari, di profilazione o di terze parti a fini di marketing.
8. Dati dei fornitori dell'Utente
Il Servizio consente all'Utente di inserire dati relativi ai propri fornitori. Tali dati sono trattati in regime di stretta riservatezza commerciale, ad uso esclusivo dell'erogazione del Servizio al singolo Utente che li ha inseriti. Il Titolare non li condivide con terzi (salvo i responsabili tecnici necessari elencati nella sezione 5), non li aggrega in dataset commercializzabili, anche in forma anonimizzata, non li utilizza per finalità di marketing o profilazione, e non li rivende né cede a terzi.
Ove tali dati includano dati personali (ad esempio relativi a un'impresa individuale o al contatto di una persona fisica), il Titolare li tratta in qualità di Responsabile del trattamento per conto dell'Utente, che resta Titolare autonomo del trattamento. L'Utente garantisce di aver fornito ai propri fornitori le informative privacy richieste dalla legge.
9. Sicurezza dei dati
COSMO adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accesso non autorizzato, perdita o distruzione: cifratura TLS per tutte le comunicazioni, autenticazione senza credenziali persistenti tramite magic link, token di sessione firmati crittograficamente, accesso al database ristretto ai soli sistemi applicativi.
10. Diritti dell'interessato (artt. 15–22 GDPR)
L'Utente ha diritto di:
Accesso (art. 15)
Ottenere conferma del trattamento e copia dei propri dati.
Rettifica (art. 16)
Correggere dati inesatti o incompleti.
Cancellazione (art. 17)
Richiedere la cancellazione dei dati («diritto all'oblio»).
Limitazione (art. 18)
Limitare il trattamento in determinate circostanze.
Portabilità (art. 20)
Ricevere i dati in formato strutturato e leggibile da macchina.
Opposizione (art. 21)
Opporsi al trattamento basato su interesse legittimo.
Revoca del consenso
Revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.
Reclamo al Garante
Presentare reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
Per esercitare i propri diritti, l'Utente può scrivere a privacy@cosmosignal.app. Il Titolare risponde entro 30 giorni.
11. Modifiche alla presente informativa
Il Titolare può modificare la presente informativa. In caso di modifiche sostanziali, gli Utenti registrati saranno notificati via email. La versione aggiornata sarà sempre disponibile a questo indirizzo. L'uso continuato del Servizio dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.
12. Contatti
Ismaele Michelotti — Località Soleschiano 8/A, 33044 Manzano (UD) — privacy@cosmosignal.app