Documento legale
Privacy Policy
Informativa sul trattamento dei dati personali ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio (GDPR) · Ultima revisione: Aprile 2026
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali raccolti tramite il servizio COSMO è:
2. Dati personali raccolti
COSMO raccoglie le seguenti categorie di dati personali:
- ▸Dati di registrazione: indirizzo email, nome (facoltativo), utilizzati per la creazione e gestione dell'account.
- ▸Dati di sessione: token di sessione sicuro archiviato nel database, identificatore univoco del dispositivo.
- ▸Dati di pagamento: i dati di fatturazione e carta di credito sono gestiti esclusivamente da Stripe Inc. COSMO non archivia mai dati di carte di credito sui propri server. Riceviamo unicamente conferma di pagamento e ID sottoscrizione.
- ▸Dati di utilizzo: variabili di costo selezionate, scenari configurati, soglie di alert, preferenze del piano tariffario. Nessun dato sul contenuto dei costi reali aziendali viene raccolto.
- ▸Lista d'attesa Business: email, dimensione aziendale, principale voce di costo, disponibilità a pagare. Raccolti esclusivamente per contattare l'interessato in merito al piano Business.
- ▸Dati tecnici e log: indirizzo IP, user agent, timestamp delle richieste. Conservati per un massimo di 12 mesi per finalità di sicurezza.
3. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogazione del servizio (autenticazione, dashboard, previsioni) | Esecuzione del contratto (art. 6 c. 1 lett. b) |
| Fatturazione e gestione pagamenti | Esecuzione del contratto (art. 6 c. 1 lett. b) |
| Invio di comunicazioni transazionali (email di accesso, avvisi) | Esecuzione del contratto (art. 6 c. 1 lett. b) |
| Risposta alle richieste della lista d'attesa Business | Interesse legittimo (art. 6 c. 1 lett. f) |
| Invio di newsletter e aggiornamenti sul prodotto | Consenso (art. 6 c. 1 lett. a) · revocabile in qualsiasi momento |
| Sicurezza del servizio e prevenzione frodi | Interesse legittimo (art. 6 c. 1 lett. f) |
| Analisi aggregate dell'utilizzo del servizio (anonimizzate) | Interesse legittimo (art. 6 c. 1 lett. f) |
| Adempimento di obblighi legali | Obbligo legale (art. 6 c. 1 lett. c) |
4. Periodo di conservazione
- ▸ Dati dell'account: fino alla cancellazione dell'account da parte dell'utente, più un periodo di retention di 30 giorni per consentire il ripristino.
- ▸ Dati di pagamento (Stripe): secondo le politiche di Stripe Inc. e gli obblighi fiscali (minimo 10 anni per fatture in Italia).
- ▸ Log tecnici: massimo 12 mesi.
- ▸ Lista d'attesa Business: fino a quando l'interessato non richiede la cancellazione, o al massimo 2 anni dall'iscrizione.
- ▸ Comunicazioni email (inviate tramite Resend): secondo le politiche di Resend Inc., normalmente 30–90 giorni.
5. Trasferimento dei dati verso paesi terzi
Alcuni dei nostri fornitori di servizi hanno sede negli Stati Uniti (paese terzo rispetto all'UE). Il trasferimento è garantito dalle seguenti tutele:
- Stripe Inc. (pagamenti) · Aderisce al DPF UE-USA e utilizza Clausole Contrattuali Standard (SCC) della Commissione Europea. Privacy Policy Stripe →
- Resend Inc. (email transazionali) · Utilizza Clausole Contrattuali Standard. Privacy Policy Resend →
- Vercel Inc. (hosting e CDN) · Certificazione DPF UE-USA; i dati europei sono processati in data center UE ove possibile. Privacy Policy Vercel →
6. Diritti dell'interessato (artt. 15–22 GDPR)
In qualità di interessato, hai il diritto di:
Accesso (art. 15)
Ottenere conferma del trattamento e copia dei tuoi dati.
Rettifica (art. 16)
Correggere dati inesatti o incompleti.
Cancellazione (art. 17)
Richiedere la cancellazione dei tuoi dati ('diritto all'oblio').
Limitazione (art. 18)
Limitare il trattamento in determinate circostanze.
Portabilità (art. 20)
Ricevere i tuoi dati in formato strutturato e leggibile da macchina.
Opposizione (art. 21)
Opporti al trattamento basato su interesse legittimo.
Revoca del consenso
Revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.
Reclamo al Garante
Presentare reclamo al Garante per la protezione dei dati personali (www.gpdp.it).
Per esercitare i tuoi diritti, scrivi a privacy@cosmosignal.app. Risponderemo entro 30 giorni.
7. Cookie e tecnologie di tracciamento
COSMO utilizza esclusivamente:
- ▸ Cookie di sessione tecnici: necessari per mantenere l'autenticazione dell'utente. Non richiedono consenso (art. 122 co. 1 D.Lgs. 196/2003).
- ▸ PostHog Analytics (EU hosting): analisi prodotto e funnel di conversione. Hosting nei datacenter europei (eu.posthog.com), opt-in esplicito tramite cookie banner, autocapture disabilitato · registriamo solo eventi di prodotto specifici (no contenuti, no fingerprinting). Conforme al GDPR. Privacy policy PostHog →
Non utilizziamo cookie pubblicitari, di profilazione o di terze parti per scopi di marketing.
8. Sicurezza dei dati
COSMO adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accesso non autorizzato, perdita o distruzione. Tra le misure adottate: crittografia TLS per tutte le comunicazioni, hashing delle password tramite bcrypt, token di sessione firmati crittograficamente, accesso al database ristretto ai soli sistemi applicativi.
9. Modifiche alla presente informativa
COSMO si riserva il diritto di modificare la presente informativa in qualsiasi momento. In caso di modifiche sostanziali, gli utenti registrati saranno notificati via email. La versione aggiornata sarà sempre disponibile a questo indirizzo. L'uso continuato del servizio dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.