Privacy Policy
Ultimo aggiornamento: marzo 2026
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è:
- WebGlobalBuild — marchio di Global Svapo S.r.l.s.
- Sede legale: Via Dino Buzzati 3, 91026 Mazara del Vallo (TP)
- P.IVA / CF: 02717040816 — REA: TP-191921
- Capitale sociale: €500,00 i.v.
- Email: [email protected]
- PEC: [email protected]
2. Tipologie di dati raccolti
Il sito raccoglie dati personali in relazione alle seguenti funzionalità. Per ciascuna è indicata la tipologia di dato, la finalità, la base giuridica e il periodo di conservazione.
2.1 Modulo di contatto
| Dati raccolti | Nome, email, tipo di progetto, messaggio, numero di telefono (opzionale) |
| Finalità | Rispondere alla richiesta dell'utente e creare un ticket di assistenza |
| Base giuridica | Consenso (art. 6.1.a GDPR) — checkbox obbligatoria prima dell'invio |
| Conservazione | I dati vengono conservati fino alla chiusura del ticket e per un massimo di 24 mesi dalla chiusura, salvo obblighi di legge |
| Terze parti | Resend (invio email di conferma e notifica) |
2.2 Preventivatore (estimator)
| Dati raccolti | Email, tipo di progetto, complessità, funzionalità selezionate, fascia di prezzo stimata, note aggiuntive |
| Finalità | Generare una stima indicativa e creare un ticket di richiesta preventivo |
| Base giuridica | Consenso (art. 6.1.a GDPR) — checkbox obbligatoria prima dell'invio |
| Conservazione | Fino a 24 mesi dalla creazione del ticket |
| Terze parti | Resend (email di conferma) |
I dati anonimi di configurazione del preventivatore (tipo progetto, complessità, funzionalità, fascia di prezzo) possono essere salvati senza dati identificativi a fini statistici interni.
2.3 Sistema ticket di assistenza
| Dati raccolti | Nome, email, telefono, tipo richiesta, titolo, descrizione, budget, tempistiche, tecnologie, allegati (PDF, JPEG, PNG, WebP — max 5 MB ciascuno, max 3 file) |
| Finalità | Gestire le richieste di assistenza e preventivo |
| Base giuridica | Esecuzione di misure precontrattuali (art. 6.1.b GDPR) |
| Conservazione | Fino a 24 mesi dalla chiusura del ticket |
| Terze parti | Resend (notifiche email), Supabase Storage (archiviazione allegati) |
2.4 Chat con intelligenza artificiale
| Dati raccolti | Nome (opzionale), email (opzionale), testo dei messaggi, cronologia della conversazione |
| Finalità | Fornire assistenza automatizzata tramite chatbot AI |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — fornire supporto immediato ai visitatori |
| Conservazione | Le sessioni chat vengono conservate fino a 12 mesi |
| Terze parti | Anthropic (Claude API) — il testo della conversazione viene trasmesso ai server di Anthropic negli Stati Uniti per la generazione delle risposte. Vedi sezione 5 per le garanzie sul trasferimento extra-UE |
2.5 Chat con operatore umano
| Dati raccolti | Nome (opzionale), email (opzionale), testo dei messaggi |
| Finalità | Fornire assistenza diretta tramite operatore |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) |
| Conservazione | Fino a 12 mesi dalla chiusura della sessione |
| Terze parti | Nessuna — i messaggi dell'operatore sono gestiti internamente |
2.6 Portale cliente
| Dati raccolti | Email, password (hash bcrypt), dati del progetto, fatture, preventivi, messaggi, recensioni |
| Finalità | Gestione del rapporto contrattuale, monitoraggio avanzamento progetto, fatturazione |
| Base giuridica | Esecuzione del contratto (art. 6.1.b GDPR) |
| Conservazione | Per tutta la durata del rapporto contrattuale e per 10 anni successivi per obblighi fiscali |
| Terze parti | Resend (email di invito, reset password), Anthropic (chat AI del portale — vedi sezione 5) |
L'accesso al portale avviene tramite cookie di sessione (wgb-portal-session) contenente un JWT firmato con i dati minimi necessari all'autenticazione (ID cliente, email, ID progetto). Il cookie ha durata di 30 giorni, è HttpOnly, Secure e SameSite Strict.
2.7 Generazione preventivi con AI (area amministrativa)
| Dati trasmessi | Descrizione del progetto, tipo di progetto |
| Finalità | Generare automaticamente le voci di un preventivo |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — efficienza operativa interna |
| Terze parti | Anthropic (Claude API) — il testo della descrizione viene trasmesso ai server di Anthropic negli USA |
2.8 Rate limiting e sicurezza
| Dati raccolti | Indirizzo IP (sottoposto a hash SHA-256 con salt crittografico prima dell'archiviazione) |
| Finalità | Prevenzione abusi, protezione da attacchi automatizzati |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — sicurezza del sito |
| Conservazione | I record di rate limiting scadono automaticamente al termine della finestra temporale configurata |
2.9 Email client IMAP (area amministrativa)
| Dati raccolti | Contenuto delle email inviate a [email protected] (mittente, oggetto, corpo del messaggio, allegati) |
| Finalità | Gestione della corrispondenza con clienti e prospect tramite il pannello amministrativo |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — gestione operativa delle comunicazioni |
| Conservazione | Le email sono archiviate sul server IMAP Aruba e accessibili solo dall'amministratore tramite il pannello admin |
| Terze parti | Aruba S.p.A. (hosting email IMAP) — i dati non vengono condivisi con altre terze parti |
2.10 Notifiche push (Web Push API)
| Dati raccolti | Endpoint di subscription push, chiavi di cifratura del browser |
| Finalità | Inviare notifiche push all'amministratore del sito per eventi rilevanti (nuovi ticket, messaggi, etc.) |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — efficienza operativa interna |
| Conservazione | Gli endpoint di subscription sono salvati in Supabase fino alla revoca o disattivazione |
| Terze parti | Nessun dato utente pubblico è coinvolto — le notifiche push sono destinate esclusivamente all'amministratore |
2.11 Account demo
Il sito mette a disposizione un account demo ([email protected]) con dati completamente fittizi per consentire la valutazione delle funzionalità del portale cliente. Nessun dato reale è associato a questo account.
2.12 Google Analytics 4
| Dati raccolti | Dati anonimi di navigazione (pagine visitate, durata sessione, profondità di scroll, interazioni con elementi dell'interfaccia), indirizzo IP (anonimizzato automaticamente) |
| Finalità | Analisi statistica del traffico e del comportamento degli utenti sul sito |
| Base giuridica | Consenso (art. 6.1.a GDPR) — attivato solo dopo accettazione esplicita tramite banner cookie |
| Conservazione | Secondo le policy di retention di Google Analytics (default 14 mesi) |
| Terze parti | Google LLC (Google Analytics 4) — i dati vengono trasferiti ai server di Google negli USA. Google Signals e la personalizzazione pubblicitaria sono disabilitati. Vedi sezione 5 |
2.13 Vercel Analytics e Speed Insights
| Dati raccolti | Pagine visitate, referrer, browser, sistema operativo, tipo di dispositivo, metriche Core Web Vitals (LCP, FID, CLS, TTFB) |
| Finalità | Monitoraggio delle prestazioni del sito e analisi aggregata del traffico |
| Base giuridica | Consenso (art. 6.1.a GDPR) — attivato solo dopo accettazione esplicita tramite banner cookie |
| Conservazione | Secondo le policy di retention di Vercel |
| Terze parti | Vercel, Inc. — vedi sezione 5 |
2.14 Recensioni pubbliche
| Dati raccolti | Nome, email, nome azienda (opzionale), testo della recensione (max 500 caratteri), valutazione (1-5 stelle) |
| Finalità | Raccogliere e pubblicare testimonianze sul sito. Le recensioni vengono moderate dall'amministratore prima della pubblicazione |
| Base giuridica | Consenso (art. 6.1.a GDPR) — invio volontario del modulo |
| Conservazione | Fino alla richiesta di cancellazione da parte dell'utente |
| Terze parti | Nessuna — i dati non vengono condivisi con terze parti |
Il nome e l'eventuale nome dell'azienda vengono pubblicati sul sito una volta approvata la recensione.
2.15 Google Indexing API (area amministrativa)
| Dati trasmessi | URL delle pagine del sito pubblicate, aggiornate o rimosse (articoli blog, progetti portfolio) |
| Finalità | Notificare Google per l'indicizzazione tempestiva dei contenuti |
| Base giuridica | Legittimo interesse (art. 6.1.f GDPR) — visibilità nei motori di ricerca |
| Terze parti | Google LLC (Indexing API) — vengono trasmessi esclusivamente URL pubblici, nessun dato personale |
3. Cookie
Il sito utilizza cookie tecnici necessari al funzionamento e, previo consenso dell'utente, cookie analitici (Google Analytics 4) e strumenti di monitoraggio delle prestazioni (Vercel Analytics, Speed Insights). Non vengono utilizzati cookie di profilazione o pubblicitari. Per informazioni dettagliate, consulta la nostra Cookie Policy.
4. Terze parti
| Servizio | Dati ricevuti | Privacy policy |
|---|---|---|
| Resend | Email, nome, contenuto messaggi per invio email transazionali | resend.com/legal/privacy-policy |
| Anthropic | Testo conversazioni chat, descrizioni progetti per generazione risposte AI e voci preventivo | anthropic.com/privacy |
| Supabase | Tutti i dati personali archiviati (database e file storage) | supabase.com/privacy |
| Google LLC | Dati anonimi di navigazione per analisi del traffico (Google Analytics 4), URL pubblici per indicizzazione (Indexing API) | policies.google.com/privacy |
| Vercel | Indirizzo IP, user agent, log delle richieste HTTP (hosting e CDN), metriche di prestazione e dati anonimi di navigazione (Vercel Analytics e Speed Insights) | vercel.com/legal/privacy-policy |
| Aruba | Email in entrata e in uscita (server IMAP per la casella [email protected]) | aruba.it/informativa-privacy |
5. Trasferimento dati extra-UE
Alcuni dati personali vengono trasferiti verso gli Stati Uniti ai seguenti fornitori:
- Anthropic, PBC (San Francisco, USA) — riceve il testo delle conversazioni chat e delle descrizioni progetto per la generazione di risposte tramite l'API Claude. Il trasferimento avviene sulla base delle Standard Contractual Clauses (SCC) adottate dalla Commissione Europea (Decisione 2021/914). Anthropic non utilizza i dati trasmessi via API per addestrare i propri modelli.
- Vercel, Inc. (San Francisco, USA) — hosting e distribuzione del sito. Il trasferimento è coperto dalle SCC e dal Data Processing Agreement di Vercel.
- Resend, Inc. (USA) — invio email transazionali. Il trasferimento è coperto dalle SCC.
- Google LLC (Mountain View, USA) — riceve dati anonimi di navigazione tramite Google Analytics 4 e URL pubblici tramite la Indexing API. Il trasferimento avviene sulla base delle SCC e dei Data Processing Terms di Google.
I dati archiviati in Supabase (database e file storage) sono ospitati nella regione UE (AWS eu-west-1, Irlanda). Non avviene alcun trasferimento extra-UE per i dati archiviati nel database.
6. Diritti dell'interessato
Ai sensi degli articoli 15-22 del GDPR, l'utente ha diritto di:
- Accesso — ottenere conferma dell'esistenza di dati che lo riguardano e accederne al contenuto
- Rettifica — aggiornare o correggere dati inesatti o incompleti
- Cancellazione — richiedere la cancellazione dei dati, nei limiti previsti dalla legge
- Limitazione — richiedere la limitazione del trattamento in determinati casi
- Portabilità — ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico
- Opposizione — opporsi al trattamento per motivi legittimi
- Revoca del consenso — revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca
Per esercitare i propri diritti, scrivere a:
- Email: [email protected]
- PEC: [email protected]
7. Diritto di reclamo
L'utente ha il diritto di proporre reclamo all'autorità di controllo competente:
- Garante per la protezione dei dati personali
- Piazza Venezia 11, 00187 Roma
- Email: [email protected]
- PEC: [email protected]
- Sito: www.garanteprivacy.it
8. Modifiche alla presente policy
Il titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con aggiornamento della data indicata in alto. La continuazione nell'uso del sito dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.