Documento legale

Privacy Policy

Informativa sul trattamento dei dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR) · Ultima revisione: 5 giugno 2026

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali raccolti tramite il servizio COSMO Signal ("Servizio" o "COSMO") è:

Ismaele Michelotti — impresa individuale

Partita IVA: IT02948780305 · Codice Fiscale: MCHSML94L22C758H

Sede: Località Soleschiano 8/A, 33044 Manzano (UD), Italia

Email: privacy@cosmosignal.app

Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendone i presupposti di obbligatorietà ai sensi dell'art. 37 GDPR.

2. Dati personali raccolti

COSMO raccoglie le seguenti categorie di dati:

  • Dati di registrazione e account: indirizzo email, nome (facoltativo), stato di verifica dell'email, preferenze di comunicazione, token di sessione sicuro archiviato nel database.
  • Dati di profilo aziendale (facoltativi): ragione sociale dell'azienda dell'Utente, settore di attività, codice ATECO, fascia di fatturato, spese annue per categoria di costo (carburante, energia, gas, materie prime, freight), esposizione ai tassi di cambio, categoria di importazione prevalente.
  • Dati relativi ai fornitori dell'Utente (facoltativi): paese di origine, eventuale paese dell'intermediario, categoria merceologica, percentuale di spesa, natura di intermediario. Per il trattamento di tali dati si veda la sezione 8.
  • Dati di utilizzo del Servizio: variabili monitorate, scenari configurati, soglie di alert, decisioni operative documentate dall'Utente, snapshot di esposizione, cronologia delle previsioni.
  • Dati di pagamento: gestiti integralmente da Stripe Inc. COSMO non archivia mai i dati della carta di pagamento sui propri server; riceve unicamente un identificativo cliente, un identificativo di abbonamento e le ultime quattro cifre dello strumento di pagamento.
  • Dati della lista d'attesa Business: email, dimensione aziendale, principale voce di costo, disponibilità di spesa indicata. Raccolti esclusivamente per contattare l'interessato in merito al piano Business.
  • Dati di prenotazione call: qualora l'Utente prenoti una consulenza tramite il calendario integrato (Calendly), vengono trattati nome, email e fascia oraria selezionata.
  • Dati tecnici e di sicurezza: indirizzo IP, user agent, timestamp delle richieste, log di accesso, segnalazioni di errore. Conservati secondo i termini della sezione 4.

3. Finalità e basi giuridiche del trattamento

FinalitàBase giuridica (art. 6 GDPR)
Registrazione, autenticazione (magic link) e accesso al ServizioEsecuzione del contratto (art. 6 c. 1 lett. b)
Calcolo delle previsioni personalizzate sui dati aziendali e di spesaEsecuzione del contratto (art. 6 c. 1 lett. b)
Invio di comunicazioni transazionali (email di accesso, conferme, fatture)Esecuzione del contratto (art. 6 c. 1 lett. b)
Invio del digest informativo settimanaleEsecuzione del contratto (art. 6 c. 1 lett. b), con opt-out in qualsiasi momento
Fatturazione e adempimenti contabili e fiscaliObbligo legale (art. 6 c. 1 lett. c)
Risposta alle richieste della lista d'attesa BusinessInteresse legittimo (art. 6 c. 1 lett. f)
Gestione delle richieste di prenotazione callMisure precontrattuali (art. 6 c. 1 lett. b)
Analisi del comportamento di utilizzo del prodotto (PostHog)Consenso (art. 6 c. 1 lett. a) · vedi sezione 7
Invio di eventuali newsletter o aggiornamenti commercialiConsenso (art. 6 c. 1 lett. a) · revocabile in qualsiasi momento
Sicurezza del Servizio, prevenzione frodi, monitoraggio erroriInteresse legittimo (art. 6 c. 1 lett. f)

Il conferimento dei dati di registrazione è necessario per l'erogazione del Servizio: il loro mancato conferimento impedisce l'accesso. Il conferimento dei dati di profilo aziendale e dei dati fornitore è facoltativo; in loro assenza alcune funzionalità di personalizzazione non sono disponibili.

4. Periodi di conservazione

  • Dati di account e profilo: per la durata del rapporto, più 12 mesi dalla cessazione; in caso di cancellazione dell'account, retention di 30 giorni per consentire il ripristino, poi cancellazione definitiva.
  • Dati di fatturazione: 10 anni, in conformità agli obblighi fiscali italiani.
  • Log tecnici e di accesso: massimo 12 mesi.
  • Segnalazioni di errore (Sentry): 90 giorni.
  • Backup del database: 30 giorni.
  • Lista d'attesa Business: fino alla richiesta di cancellazione dell'interessato, o al massimo 2 anni dall'iscrizione.
  • Comunicazioni email (Resend): secondo le politiche di Resend, normalmente 30–90 giorni.

5. Destinatari e responsabili del trattamento

Per l'erogazione del Servizio, il Titolare si avvale dei seguenti responsabili del trattamento:

FornitoreSede societàLocalizzazione datiFinalitàGaranzia trasferimento
Vercel Inc.USAUSA / edge UEHosting e CDNEU-U.S. DPF + SCC
Supabase Inc.USAUE (eu-west-2)DatabaseEU-U.S. DPF + SCC
Stripe Inc.USAUSAPagamenti e fatturazioneEU-U.S. DPF + SCC
Resend Inc.USAUSAEmail transazionaliEU-U.S. DPF + SCC
Functional Software Inc. (Sentry)USAUSAMonitoraggio erroriEU-U.S. DPF + SCC
PostHog Inc.USAUE (eu.posthog.com)Analisi del prodottoEU-U.S. DPF + SCC
ImprovMX SASFrancia (UE)UEInoltro email in entrataTrasferimento intra-UE
Calendly LLCUSAUSAPrenotazione callEU-U.S. DPF + SCC
TeamSystem S.p.A. (Fatture in Cloud)ItaliaUEFatturazione elettronica SDITrasferimento intra-UE

L'elenco aggiornato dei responsabili è disponibile su richiesta scrivendo a privacy@cosmosignal.app.

6. Trasferimento dei dati verso paesi terzi

Alcuni responsabili hanno sede negli Stati Uniti (paese terzo rispetto all'UE). I relativi trasferimenti avvengono sulla base dell'EU-U.S. Data Privacy Framework (Decisione di adeguatezza della Commissione Europea del 10 luglio 2023) e, in via aggiuntiva, delle Clausole Contrattuali Standard adottate con Decisione di Esecuzione (UE) 2021/914. Copia delle garanzie applicate è disponibile su richiesta scrivendo a privacy@cosmosignal.app.

7. Cookie e tecnologie di tracciamento

COSMO utilizza:

  • Cookie tecnici essenziali: necessari per l'autenticazione dell'Utente (NextAuth) e per la sicurezza durante la fase di pagamento (Stripe). Non richiedono consenso ai sensi dell'art. 122, comma 1, D.Lgs. 196/2003 e del Provvedimento del Garante n. 231 del 10 giugno 2021.
  • PostHog Analytics (hosting UE): analisi del comportamento di prodotto e dei funnel di conversione, con dati ospitati nei datacenter europei (eu.posthog.com). L'autocapture è disabilitato: vengono registrati solo eventi di prodotto specifici, senza raccolta di contenuti né fingerprinting. Il trattamento è subordinato al consenso esplicito dell'Utente, raccolto tramite il banner cookie; in assenza di consenso, PostHog non viene attivato. Privacy policy PostHog →

COSMO non utilizza cookie pubblicitari, di profilazione o di terze parti a fini di marketing.

8. Dati dei fornitori dell'Utente

Il Servizio consente all'Utente di inserire dati relativi ai propri fornitori. Tali dati sono trattati in regime di stretta riservatezza commerciale, ad uso esclusivo dell'erogazione del Servizio al singolo Utente che li ha inseriti. Il Titolare non li condivide con terzi (salvo i responsabili tecnici necessari elencati nella sezione 5), non li aggrega in dataset commercializzabili, anche in forma anonimizzata, non li utilizza per finalità di marketing o profilazione, e non li rivende né cede a terzi.

Ove tali dati includano dati personali (ad esempio relativi a un'impresa individuale o al contatto di una persona fisica), il Titolare li tratta in qualità di Responsabile del trattamento per conto dell'Utente, che resta Titolare autonomo del trattamento. L'Utente garantisce di aver fornito ai propri fornitori le informative privacy richieste dalla legge.

9. Sicurezza dei dati

COSMO adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accesso non autorizzato, perdita o distruzione: cifratura TLS per tutte le comunicazioni, autenticazione senza credenziali persistenti tramite magic link, token di sessione firmati crittograficamente, accesso al database ristretto ai soli sistemi applicativi.

10. Diritti dell'interessato (artt. 15–22 GDPR)

L'Utente ha diritto di:

Accesso (art. 15)

Ottenere conferma del trattamento e copia dei propri dati.

Rettifica (art. 16)

Correggere dati inesatti o incompleti.

Cancellazione (art. 17)

Richiedere la cancellazione dei dati («diritto all'oblio»).

Limitazione (art. 18)

Limitare il trattamento in determinate circostanze.

Portabilità (art. 20)

Ricevere i dati in formato strutturato e leggibile da macchina.

Opposizione (art. 21)

Opporsi al trattamento basato su interesse legittimo.

Revoca del consenso

Revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.

Reclamo al Garante

Presentare reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

Per esercitare i propri diritti, l'Utente può scrivere a privacy@cosmosignal.app. Il Titolare risponde entro 30 giorni.

11. Modifiche alla presente informativa

Il Titolare può modificare la presente informativa. In caso di modifiche sostanziali, gli Utenti registrati saranno notificati via email. La versione aggiornata sarà sempre disponibile a questo indirizzo. L'uso continuato del Servizio dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.

12. Contatti

Ismaele Michelotti — Località Soleschiano 8/A, 33044 Manzano (UD) — privacy@cosmosignal.app