Privacy Policy
Ultimo aggiornamento: marzo 2026
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è:
- WebGlobalBuild — marchio di Global Svapo S.r.l.s.
- Sede legale: Via Dino Buzzati 3, 91026 Mazara del Vallo (TP)
- P.IVA / CF: 02717040816 — REA: TP-191921
- Capitale sociale: €500,00 i.v.
- Legale rappresentante e referente per la protezione dei dati: Ivo Guccione
- Email: info@webglobalbuild.it
- PEC: salvatoreguccione6@pec.it
2. Tipologie di dati raccolti
Il sito raccoglie dati personali in relazione alle seguenti funzionalità. Per ciascuna è indicata la tipologia di dato, la finalità, la base giuridica e il periodo di conservazione.
2.1 Modulo di contatto
| Dati raccolti | Nome, email, tipo di progetto, messaggio, numero di telefono (opzionale) |
| Finalità | Rispondere alla richiesta dell'utente e creare un ticket di assistenza |
| Base giuridica | Consenso (art. 6.1.a GDPR) — checkbox obbligatoria prima dell'invio |
| Conservazione | I dati vengono conservati fino alla chiusura del ticket e per un massimo di 24 mesi dalla chiusura, salvo obblighi di legge |
| Terze parti | Resend (invio email di conferma e notifica) |
2.2 Preventivatore (estimator)
| Dati raccolti | Email, descrizione del progetto, target, urgenza, budget, funzionalità selezionate, preferenza di contatto, stima AI generata, note aggiuntive |
| Finalità | Generare una stima indicativa tramite AI e creare un ticket di richiesta preventivo |
| Base giuridica | Consenso (art. 6.1.a GDPR) — checkbox obbligatoria prima dell'invio |
| Conservazione | Fino a 24 mesi dalla creazione del ticket |
| Terze parti | Resend (email di conferma) |
La descrizione del progetto viene elaborata da Claude (Anthropic) per generare la stima. Nessun dato personale (email, nome) viene trasmesso all'AI — solo la descrizione del progetto e le preferenze selezionate. I dati anonimi possono essere salvati a fini statistici interni.
2.3 Sistema ticket di assistenza
| Dati raccolti | Nome, email, telefono, tipo richiesta, titolo, descrizione, budget, tempistiche, tecnologie, allegati (PDF, JPEG, PNG, WebP — max 5 MB ciascuno, max 3 file) |
| Finalità | Gestire le richieste di assistenza e preventivo |
| Base giuridica | Esecuzione di misure precontrattuali (art. 6.1.b GDPR) |
| Conservazione | Fino a 24 mesi dalla chiusura del ticket |
| Terze parti | Resend (notifiche email), Supabase Storage (archiviazione allegati) |
2.4 Chat con intelligenza artificiale
| Dati raccolti | Nome (opzionale), email (opzionale), testo dei messaggi, cronologia della conversazione |
| Finalità | Fornire assistenza automatizzata tramite chatbot AI |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — fornire supporto immediato ai visitatori |
| Conservazione | Le sessioni chat vengono conservate fino a 12 mesi |
| Terze parti | Anthropic (Claude API) — il testo della conversazione viene trasmesso ai server di Anthropic negli Stati Uniti per la generazione delle risposte. Vedi sezione 5 per le garanzie sul trasferimento extra-UE |
2.5 Chat con operatore umano
| Dati raccolti | Nome (opzionale), email (opzionale), testo dei messaggi |
| Finalità | Fornire assistenza diretta tramite operatore |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) |
| Conservazione | Fino a 12 mesi dalla chiusura della sessione |
| Terze parti | Nessuna — i messaggi dell'operatore sono gestiti internamente |
2.6 Portale cliente
| Dati raccolti | Email, password (hash bcrypt), dati del progetto, fatture, preventivi, messaggi, recensioni |
| Finalità | Gestione del rapporto contrattuale, monitoraggio avanzamento progetto, fatturazione |
| Base giuridica | Esecuzione del contratto (art. 6.1.b GDPR) |
| Conservazione | Per tutta la durata del rapporto contrattuale e per 10 anni successivi per obblighi fiscali |
| Terze parti | Resend (email di invito, reset password), Anthropic (chat AI del portale — vedi sezione 5) |
L'accesso al portale avviene tramite cookie di sessione (wgb-portal-session) contenente un JWT firmato con i dati minimi necessari all'autenticazione (ID cliente, ID account). Il cookie ha durata di 7 giorni, è HttpOnly, Secure e SameSite Strict.
In caso di accettazione o rifiuto di un preventivo, l'indirizzo IP del cliente viene registrato come prova dell'accettazione contrattuale ai sensi dell'art. 6.1.b GDPR (esecuzione del contratto). Tale dato viene conservato per tutta la durata del rapporto contrattuale e per i successivi 10 anni per obblighi fiscali e probatori.
2.7 Generazione preventivi con AI (area amministrativa)
| Dati trasmessi | Descrizione del progetto, tipo di progetto |
| Finalità | Generare automaticamente le voci di un preventivo |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — efficienza operativa interna |
| Terze parti | Anthropic (Claude API) — il testo della descrizione viene trasmesso ai server di Anthropic negli USA |
2.8 Rate limiting e sicurezza
| Dati raccolti | Indirizzo IP (sottoposto a hash SHA-256 con salt crittografico prima dell'archiviazione) |
| Finalità | Prevenzione abusi, protezione da attacchi automatizzati |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — sicurezza del sito |
| Conservazione | I record di rate limiting scadono automaticamente al termine della finestra temporale configurata |
2.9 Email client IMAP (area amministrativa)
| Dati raccolti | Contenuto delle email inviate a info@webglobalbuild.it (mittente, oggetto, corpo del messaggio, allegati) |
| Finalità | Gestione della corrispondenza con clienti e prospect tramite il pannello amministrativo |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — gestione operativa delle comunicazioni |
| Conservazione | Le email sono archiviate sul server IMAP Aruba e accessibili solo dall'amministratore tramite il pannello admin |
| Terze parti | Aruba S.p.A. (hosting email IMAP) — i dati non vengono condivisi con altre terze parti |
2.9bis — Suggerimenti risposta email via AI (area amministrativa)
| Dati trasmessi | Oggetto email, mittente, corpo del messaggio |
| Finalità | Generare suggerimenti di risposta tramite intelligenza artificiale per le email ricevute |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — efficienza operativa interna |
| Terze parti | Anthropic (Claude API) — il contenuto dell'email viene trasmesso ai server di Anthropic negli USA per la generazione del suggerimento |
2.10 Notifiche push (Web Push API)
| Dati raccolti | Endpoint di subscription push, chiavi di cifratura del browser |
| Finalità | Inviare notifiche push all'amministratore del sito per eventi rilevanti (nuovi ticket, messaggi, etc.) |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — efficienza operativa interna |
| Conservazione | Gli endpoint di subscription sono salvati in Supabase fino alla revoca o disattivazione |
| Terze parti | Nessun dato utente pubblico è coinvolto — le notifiche push sono destinate esclusivamente all'amministratore |
2.11 Account demo
Il sito mette a disposizione un account demo (demo@webglobalbuild.it) con dati completamente fittizi per consentire la valutazione delle funzionalità del portale cliente. Nessun dato reale è associato a questo account.
2.12 Google Analytics 4
| Dati raccolti | Dati anonimi di navigazione (pagine visitate, durata sessione, profondità di scroll, interazioni con elementi dell'interfaccia), indirizzo IP (anonimizzato automaticamente) |
| Finalità | Analisi statistica del traffico e del comportamento degli utenti sul sito |
| Base giuridica | Consenso (art. 6.1.a GDPR) — attivato solo dopo accettazione esplicita tramite banner cookie |
| Conservazione | Secondo le policy di retention di Google Analytics (default 14 mesi) |
| Terze parti | Google LLC (Google Analytics 4) — i dati vengono trasferiti ai server di Google negli USA. Google Signals e la personalizzazione pubblicitaria sono disabilitati. Vedi sezione 5 |
2.13 Vercel Analytics e Speed Insights
| Dati raccolti | Pagine visitate, referrer, browser, sistema operativo, tipo di dispositivo, metriche Core Web Vitals (LCP, FID, CLS, TTFB) |
| Finalità | Monitoraggio delle prestazioni del sito e analisi aggregata del traffico |
| Base giuridica | Consenso (art. 6.1.a GDPR) — attivato solo dopo accettazione esplicita tramite banner cookie |
| Conservazione | Secondo le policy di retention di Vercel |
| Terze parti | Vercel, Inc. — vedi sezione 5 |
2.14 Recensioni pubbliche
| Dati raccolti | Nome, email, nome azienda (opzionale), ruolo (opzionale), testo della recensione (max 500 caratteri), valutazione (1-5 stelle) |
| Finalità | Raccogliere e pubblicare testimonianze sul sito. Le recensioni vengono moderate dall'amministratore prima della pubblicazione |
| Base giuridica | Consenso (art. 6.1.a GDPR) — invio volontario del modulo |
| Conservazione | Fino alla richiesta di cancellazione da parte dell'utente |
| Terze parti | Nessuna — i dati non vengono condivisi con terze parti |
Il nome e l'eventuale nome dell'azienda vengono pubblicati sul sito una volta approvata la recensione.
2.15 Google Indexing API (area amministrativa)
| Dati trasmessi | URL delle pagine del sito pubblicate, aggiornate o rimosse (articoli blog, progetti portfolio) |
| Finalità | Notificare Google per l'indicizzazione tempestiva dei contenuti |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — visibilità nei motori di ricerca |
| Terze parti | Google LLC (Indexing API) — vengono trasmessi esclusivamente URL pubblici, nessun dato personale |
2.16 — Generazione contenuti e traduzione via AI (area amministrativa)
| Dati trasmessi | Descrizioni dei progetti portfolio, contenuto degli articoli del blog |
| Finalità | Generazione di case study per il portfolio e traduzione di contenuti dall'italiano all'inglese |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — efficienza operativa, pubblicazione multilingue |
| Terze parti | Anthropic (Claude API) — i testi vengono trasmessi ai server di Anthropic negli USA per elaborazione e traduzione |
2.17 — Registro utilizzo AI e trasparenza
Tutte le interazioni con sistemi di intelligenza artificiale vengono registrate in un log interno (ai_usage_log) che traccia: nome della funzionalità, numero di token utilizzati e costo stimato.
Il log non contiene dati personali — registra solo l'identificativo della funzionalità e un'anteprima troncata del prompt (massimo 100 caratteri). Lo scopo è il monitoraggio dei costi, la trasparenza e la conformità al Regolamento UE 2024/1689 (AI Act).
2.18 Sentry (monitoraggio errori)
| Dati raccolti | Messaggi di errore JavaScript, stack trace, URL della pagina, user agent, indirizzo IP anonimizzato |
| Finalità | Rilevamento e risoluzione di errori tecnici per migliorare la stabilità del sito |
| Base giuridica | Consenso (art. 6.1.a GDPR) — categoria "Funzionali" nel cookie banner |
| Conservazione | 90 giorni (policy predefinita di Sentry) |
| Terze parti | Functional Software, Inc. (Sentry) — San Francisco, USA |
2.19 Cloudflare Turnstile (protezione anti-bot)
| Dati raccolti | Token di verifica, indirizzo IP, user agent, dati di interazione con il widget |
| Finalità | Protezione delle pagine di login da accessi automatizzati e attacchi bot |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — sicurezza del servizio |
| Conservazione | Il cookie cf_clearance ha durata di 30 minuti. Cloudflare non conserva dati personali oltre il tempo necessario alla verifica |
| Terze parti | Cloudflare, Inc. — San Francisco, USA |
3. Cookie
Il sito utilizza cookie tecnici necessari al funzionamento e, previo consenso dell'utente, cookie analitici (Google Analytics 4) e strumenti di monitoraggio delle prestazioni (Vercel Analytics, Speed Insights). Non vengono utilizzati cookie di profilazione o pubblicitari. Per informazioni dettagliate, consulta la nostra Cookie Policy.
4. Terze parti
| Servizio | Dati ricevuti | Privacy policy | DPA |
|---|---|---|---|
| Resend | Email, nome, contenuto messaggi per invio email transazionali | resend.com/legal/privacy-policy | DPA |
| Anthropic | Testo conversazioni chat, descrizioni progetti per generazione risposte AI e voci preventivo | anthropic.com/privacy | DPA |
| Supabase | Tutti i dati personali archiviati (database e file storage) | supabase.com/privacy | DPA |
| Google LLC | Dati anonimi di navigazione per analisi del traffico (Google Analytics 4), URL pubblici per indicizzazione (Indexing API) | policies.google.com/privacy | DPA |
| Vercel | Indirizzo IP, user agent, log delle richieste HTTP (hosting e CDN), metriche di prestazione e dati anonimi di navigazione (Vercel Analytics e Speed Insights) | vercel.com/legal/privacy-policy | DPA |
| Aruba | Email in entrata e in uscita (server IMAP per la casella info@webglobalbuild.it) | aruba.it/informativa-privacy | — |
| Functional Software, Inc. (Sentry) | Messaggi di errore, stack trace, URL, user agent, IP anonimizzato per monitoraggio errori | sentry.io/privacy | DPA |
| Cloudflare, Inc. | Token di verifica, indirizzo IP, user agent per protezione anti-bot (Turnstile) | cloudflare.com/privacypolicy | DPA |
5. Trasferimento dati extra-UE
Alcuni dati personali vengono trasferiti verso gli Stati Uniti ai seguenti fornitori:
- Anthropic, PBC (San Francisco, USA) — riceve il testo delle conversazioni chat e delle descrizioni progetto per la generazione di risposte tramite l'API Claude. Il trasferimento avviene sulla base delle Standard Contractual Clauses (SCC) adottate dalla Commissione Europea (Decisione 2021/914). Anthropic non utilizza i dati trasmessi via API per addestrare i propri modelli. (DPA)
- Vercel, Inc. (San Francisco, USA) — hosting e distribuzione del sito. Il trasferimento è coperto dalle SCC e dal Data Processing Agreement di Vercel. (DPA)
- Resend, Inc. (USA) — invio email transazionali. Il trasferimento è coperto dalle SCC. (DPA)
- Google LLC (Mountain View, USA) — riceve dati anonimi di navigazione tramite Google Analytics 4 e URL pubblici tramite la Indexing API. Il trasferimento avviene sulla base delle SCC e dei Data Processing Terms di Google. (DPA)
- Functional Software, Inc. (Sentry) (San Francisco, USA) — riceve dati tecnici di errore (stack trace, URL, user agent) per il monitoraggio della stabilità del sito, previo consenso dell'utente. Il trasferimento avviene sulla base delle SCC. (DPA)
- Cloudflare, Inc. (San Francisco, USA) — riceve dati di verifica anti-bot (token, IP, user agent) tramite il servizio Turnstile nelle pagine di login. Il trasferimento avviene sulla base delle SCC e del DPA di Cloudflare. (DPA)
I dati archiviati in Supabase (database e file storage) sono ospitati nella regione UE (AWS eu-west-1, Irlanda). Non avviene alcun trasferimento extra-UE per i dati archiviati nel database.
6. Diritti dell'interessato
Ai sensi degli articoli 15-22 del GDPR, l'utente ha diritto di:
- Accesso — ottenere conferma dell'esistenza di dati che lo riguardano e accederne al contenuto
- Rettifica — aggiornare o correggere dati inesatti o incompleti
- Cancellazione — richiedere la cancellazione dei dati, nei limiti previsti dalla legge
- Limitazione — richiedere la limitazione del trattamento in determinati casi
- Portabilità — ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico
- Opposizione — opporsi al trattamento per motivi legittimi
- Revoca del consenso — revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca
Per esercitare i propri diritti, scrivere a:
- Email: info@webglobalbuild.it
- PEC: salvatoreguccione6@pec.it
7. Diritto di reclamo
L'utente ha il diritto di proporre reclamo all'autorità di controllo competente:
- Garante per la protezione dei dati personali
- Piazza Venezia 11, 00187 Roma
- Email: garante@gpdp.it
- PEC: protocollo@pec.gpdp.it
- Sito: www.garanteprivacy.it
7bis. Sistemi di intelligenza artificiale — Conformità AI Act
Questo sito utilizza sistemi di intelligenza artificiale nel rispetto del Regolamento UE 2024/1689 (AI Act). Tutti i sistemi impiegati sono classificati come a rischio minimo o limitato ai sensi del regolamento.
I sistemi AI utilizzati includono: chatbot pubblico per assistenza visitatori, chat del portale cliente, generazione voci preventivo, suggerimenti risposta email, generazione contenuti portfolio e traduzione articoli. Tutti si basano sul modello Claude di Anthropic.
Il chatbot è chiaramente identificato come AI nell'interfaccia. Tutti i contenuti generati tramite AI vengono revisionati da un operatore umano prima della pubblicazione.
Per informazioni dettagliate, consulta la pagina dedicata Trasparenza AI.
7ter. Responsabile della protezione dei dati (DPO)
Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO) in quanto non rientra nei casi previsti dall'art. 37 del GDPR. Il referente per la protezione dei dati personali è il legale rappresentante della società, Ivo Guccione, contattabile ai seguenti recapiti:
- Email: info@webglobalbuild.it
- PEC: salvatoreguccione6@pec.it
7quater. Processi decisionali automatizzati (Art. 22)
Il sito utilizza sistemi di intelligenza artificiale (chatbot, generazione contenuti, assistente preventivi) che non producono decisioni con effetti giuridici o che incidono significativamente sull'interessato. Le risposte generate dall'AI sono di natura informativa e non vincolante. Ogni decisione commerciale (preventivi, fatture, gestione progetti) è sempre sottoposta a revisione e approvazione umana.
7quinquies. Categorie particolari di dati (Art. 9)
Il Titolare non raccoglie né tratta categorie particolari di dati personali di cui all'art. 9 GDPR (dati relativi a salute, origine razziale o etnica, opinioni politiche, convinzioni religiose, dati genetici o biometrici). Qualora l'utente inserisse spontaneamente tali informazioni nei messaggi di contatto, nella chat o nei ticket, il Titolare provvederà alla loro cancellazione.
8. Modifiche alla presente policy
Il titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con aggiornamento della data indicata in alto. La continuazione nell'uso del sito dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.