Privacy Policy

Titolare del trattamento è [RAGIONE SOCIALE], con sede legale in [INDIRIZZO SEDE LEGALE], P. IVA [P. IVA], C.F. [CODICE FISCALE] (di seguito, “Cassiria” o il “Titolare”).

Per ogni richiesta relativa al trattamento dei dati personali: privacy@cassiria.com.

Il Titolare non ha nominato un Responsabile della protezione dei dati, non ricorrendo i presupposti di cui all’art. 37 GDPR. Per materia privacy è comunque disponibile l’indirizzo privacy@cassiria.com.

Cassiria tratta le seguenti categorie di dati personali:

• Dati di contatto e identificativi — nome, cognome, e-mail, numero di telefono, handle dei profili social, indirizzo di fatturazione, dati forniti in fase di candidatura.
• Dati contrattuali e commerciali — informazioni relative alla prestazione dei servizi, credenziali di accesso ai canali affidati al Titolare, dati su ricavi, audience e performance, rendicontazione, fatturazione.
• Dati di navigazione — indirizzi IP, identificatori del browser e del dispositivo, pagine visitate, orari di accesso, interazioni con le pagine (click, scroll, movimenti del mouse, session replay), dati raccolti tramite cookie e strumenti di tracciamento come descritti nella Cookie Policy.
• Contenuti volontariamente forniti — informazioni condivise tramite e-mail, form di candidatura, messaggistica o videochiamate.

Cassiria non richiede e non tratta intenzionalmente categorie particolari di dati personali ex art. 9 GDPR, salvo che l’interessato le fornisca spontaneamente e che siano strettamente necessarie all’erogazione del servizio richiesto.

I dati personali sono trattati per le seguenti finalità e sulle seguenti basi giuridiche:

1. Gestione delle candidature e dei contattipervenuti tramite il Sito o via e-mail, inclusa la valutazione del fit strategico — base giuridica: esecuzione di misure precontrattuali richieste dall’interessato (art. 6.1.b GDPR).
2. Esecuzione del contratto di servizio tra Cassiria e il cliente (creator, brand, agenzia) — base giuridica: esecuzione di un contratto (art. 6.1.b GDPR).
3. Adempimento di obblighi di legge, in particolare fiscali, contabili, antiriciclaggio — base giuridica: obbligo legale (art. 6.1.c GDPR).
4. Gestione e sicurezza del Sito, rilevamento di abusi, log tecnici, prevenzione di frodi — base giuridica: legittimo interesse del Titolare (art. 6.1.f GDPR).
5. Analisi statistica e misurazione delle performance del Sito attraverso Google Analytics 4 e Microsoft Clarity (inclusi heatmap e session replay anonimizzati) — base giuridica: consenso dell’interessato (art. 6.1.a GDPR), liberamente revocabile dal banner cookie.
6. Marketing diretto— invio di comunicazioni commerciali sui servizi di Cassiria, solo previo consenso esplicito dell’interessato (art. 6.1.a GDPR), revocabile in qualsiasi momento.
7. Difesa in giudizio e tutela dei diritti del Titolare — base giuridica: legittimo interesse (art. 6.1.f GDPR).

Il conferimento dei dati indicati come “obbligatori” nei moduli di candidatura o nei documenti contrattuali è necessario per consentire a Cassiria di dar seguito alla richiesta e di erogare i servizi. Il mancato conferimento impedisce il perfezionamento del contratto. Per le altre finalità (es. analytics, marketing) il conferimento è facoltativo e subordinato al consenso.

I dati possono essere comunicati, nei limiti delle finalità sopra indicate, a:

• personale autorizzato di Cassiria (chat manager, acquisition, team strategico, amministrazione);
• fornitori di servizi tecnici nominati Responsabili del trattamento ex art. 28 GDPR;
• piattaforme terze sulle quali il cliente opera (es. social media, provider di messaggistica), esclusivamente per operazioni strettamente necessarie all’esecuzione del servizio;
• autorità giudiziarie, amministrative o di pubblica sicurezza, nei casi previsti dalla legge.

I principali responsabili del trattamento utilizzati sono:

• Vercel Inc. — Hosting e infrastruttura di deploy. Sede: Stati Uniti (trasferimento extra-UE). Informativa.
• Google Ireland Ltd. / Google LLC — Google Tag Manager, Google Analytics 4, Google Fonts (self-hosted via next/font). Sede: Irlanda / Stati Uniti (trasferimento extra-UE). Informativa.
• Microsoft Ireland Operations Ltd. / Microsoft Corp. — Microsoft Clarity (heatmap e session replay). Sede: Irlanda / Stati Uniti (trasferimento extra-UE). Informativa.

L’elenco aggiornato dei Responsabili del trattamento è disponibile su richiesta a privacy@cassiria.com.

Alcuni fornitori sopra elencati (Vercel, Google, Microsoft) possono trattare i dati al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti. In tali casi Cassiria garantisce che il trasferimento avvenga sulla base di:

• una decisione di adeguatezza della Commissione UE (es. EU-US Data Privacy Framework, ove applicabile);
• Clausole Contrattuali Standardapprovate dalla Commissione (Decisione UE 2021/914) ai sensi dell’art. 46 GDPR, integrate da misure supplementari tecniche e contrattuali laddove necessario.

Copia delle garanzie adottate è disponibile su richiesta a privacy@cassiria.com.

I dati sono conservati per il tempo strettamente necessario:

• Candidature non andate a buon fine— fino a 24 mesi dall’ultimo contatto;
• Dati contrattuali — per tutta la durata del contratto e per i successivi 10 anni ex art. 2220 c.c.;
• Dati di navigazione e log tecnici — massimo 12 mesi, salvi obblighi di conservazione più estesi previsti dalla legge;
• Dati Google Analytics 4 — retention impostata a 14 mesi, oltre i quali i dati utente ed evento sono eliminati automaticamente;
• Dati Microsoft Clarity — conservati per un massimo di 12 mesi in forma pseudonimizzata;
• Dati trattati per marketing— fino a revoca del consenso e comunque non oltre 24 mesi dall’ultima interazione.

In qualunque momento puoi esercitare, nei confronti del Titolare, i seguenti diritti previsti dagli artt. 15–22 GDPR:

• accesso ai tuoi dati personali;
• rettifica dei dati inesatti o integrazione di quelli incompleti;
• cancellazione (“diritto all’oblio”) nei casi previsti;
• limitazione del trattamento;
• portabilità dei dati forniti;
• opposizione al trattamento basato su legittimo interesse o per finalità di marketing;
• revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.

Le richieste vanno inoltrate a privacy@cassiria.com. Il Titolare risponde entro i termini previsti dal GDPR (di norma 30 giorni, prorogabili a 90 in casi complessi).

È sempre possibile proporre reclamo all’Autorità di controllo competente — in Italia, il Garante per la protezione dei dati personali (www.garanteprivacy.it).

Cassiria non adotta processi decisionali interamente automatizzati, inclusa la profilazione, che producano effetti giuridici o incidano significativamente sugli interessati ai sensi dell’art. 22 GDPR.

Il Titolare adotta misure tecniche e organizzative adeguate, come richiesto dall’art. 32 GDPR, per proteggere i dati da distruzione, perdita, modifica, divulgazione o accesso non autorizzato. Le credenziali affidate al Titolare nel corso dell’esecuzione del contratto sono conservate in sistemi cifrati, con accesso limitato al personale strettamente necessario.

La presente informativa può essere aggiornata per adeguarla a modifiche normative, a nuovi servizi o all’evoluzione dei sistemi del Titolare. La versione vigente è sempre disponibile a questo indirizzo, con l’indicazione della data di ultimo aggiornamento.