Privacy Policy

Informativa sul trattamento dei dati personali ai sensi degli Artt. 13 e 14 del Regolamento UE 2016/679 (GDPR)
Ultimo aggiornamento: 16 febbraio 2026 — Versione: 1.0

Indice

  1. Introduzione
  2. Titolare del Trattamento
  3. Data Protection Officer
  4. Ruoli multi-tenant
  5. Dati Raccolti
  6. Base Giuridica
  7. Finalita
  8. Condivisione Dati
  9. Trasferimenti Internazionali
  10. Conservazione
  11. Sicurezza
  12. I Tuoi Diritti
  13. Decisioni Automatizzate
  14. Cookie
  15. Minori
  16. Modifiche
  17. Contatti

1. Introduzione

AIGENCY (di seguito "la Piattaforma", "noi" o "nostro") e una piattaforma di gestione social media che consente ad agenzie e professionisti di pianificare, creare, programmare e pubblicare contenuti sui principali canali social, gestire clienti, campagne e analizzare le performance.

Questa Privacy Policy descrive come raccogliamo, utilizziamo, condividiamo e proteggiamo i tuoi dati personali quando utilizzi i nostri servizi. Si applica a tutti gli utenti della Piattaforma, inclusi amministratori di agency, social manager, copywriter e altri ruoli utente.

Ti preghiamo di leggere attentamente questa informativa. Utilizzando AIGENCY, confermi di aver letto e compreso questa Privacy Policy.

2. Titolare del Trattamento

Il Titolare del trattamento dei dati personali e:

Titolare Riccardo Capece (persona fisica)
Indirizzo Via Verga 20, Grottammare (AP)
Codice Fiscale / P.IVA 02546440443
Email riccardoocapece@gmail.com
Email PEC riccardocapece@pec.it

3. Data Protection Officer (DPO)

Ai sensi dell'Art. 37 GDPR, la nomina di un DPO e obbligatoria quando le attivita principali del titolare comportano un monitoraggio regolare e sistematico degli interessati su larga scala, o il trattamento su larga scala di categorie particolari di dati.

Allo stato attuale, considerato il volume di dati trattati e la natura dell'attivita, non e stato nominato un DPO in quanto non ricorrono le condizioni di cui all'Art. 37(1) GDPR. Per qualsiasi questione relativa alla protezione dei dati, puoi contattare direttamente il Titolare ai recapiti indicati nella sezione Contatti.

Qualora le condizioni dovessero mutare (ad esempio per un significativo aumento del volume di dati trattati o del numero di utenti), provvederemo alla nomina di un DPO e aggiorneremo questa informativa con i relativi recapiti.

4. Ruoli nel Trattamento dei Dati (Architettura Multi-Tenant)

AIGENCY e una piattaforma multi-tenant: ogni agency dispone di un ambiente separato e isolato. Questo comporta una struttura articolata dei ruoli nel trattamento dei dati:

4.1 Riccardo Capece come Titolare del Trattamento

Il Titolare e autonomo titolare del trattamento per i seguenti dati:

  • Dati di registrazione degli utenti della Piattaforma (nome, email, password, ruolo)
  • Dati tecnici e di sessione raccolti automaticamente (IP, user agent, log)
  • Dati di fatturazione e amministrativi relativi agli abbonamenti
  • Cookie e dati di analytics della Piattaforma (previo consenso)

4.2 Riccardo Capece come Responsabile del Trattamento (Art. 28 GDPR)

Per quanto riguarda i dati dei clienti delle agency (i soggetti terzi i cui dati vengono inseriti nella Piattaforma dalle agency per gestire campagne social), il Titolare agisce in qualita di Responsabile del trattamento per conto di ciascuna agency, che rimane autonoma Titolare del trattamento per i propri clienti.

In questo contesto:

  • Ciascuna agency e responsabile di fornire ai propri clienti un'adeguata informativa privacy (Artt. 13-14 GDPR)
  • Ciascuna agency e responsabile di ottenere le basi giuridiche necessarie per il trattamento dei dati dei propri clienti
  • Il rapporto tra AIGENCY e ciascuna agency e regolato da un Accordo sul Trattamento dei Dati (DPA) conforme all'Art. 28 GDPR, che definisce natura, finalita, durata del trattamento, tipo di dati e obblighi reciproci
  • AIGENCY tratta i dati dei clienti delle agency esclusivamente secondo le istruzioni documentate dell'agency e per le finalita di erogazione del servizio

4.3 Server SMTP dell'agency

Ciascuna agency puo configurare un proprio server SMTP per l'invio delle email di notifica ai propri utenti. In tal caso, le email transazionali transitano attraverso server di terze parti scelti e configurati dall'agency, la quale e responsabile della conformita di tale servizio alla normativa applicabile. AIGENCY non e responsabile del trattamento dei dati effettuato dal provider SMTP scelto dall'agency.

5. Dati che Raccogliamo

5.1 Dati forniti direttamente dall'utente

  • Dati di registrazione: nome, cognome, indirizzo email, password (crittografata con bcrypt), ruolo nell'organizzazione
  • Dati dell'agency: nome agency, slug, dominio personalizzato, email, telefono, indirizzo, logo, configurazione SMTP
  • Dati dei clienti gestiti: nome azienda, referente, email, telefono, indirizzo, sito web, note (vedi sezione 4.2 per i ruoli nel trattamento)
  • Contenuti creati: testi dei post, immagini, video, hashtag, menzioni, programmazione pubblicazioni
  • Campagne: nome, descrizione, budget, date, obiettivi
  • Interazioni AI: prompt inviati all'assistente AI e contenuti generati (vedi sezione 6.2.3 per i dettagli)

5.2 Dati raccolti automaticamente

  • Dati tecnici: indirizzo IP, tipo di browser, sistema operativo, user agent
  • Dati di sessione: timestamp di accesso, durata sessione, pagine visitate
  • Activity log: azioni eseguite nella piattaforma (creazione, modifica, eliminazione di contenuti), timestamp, utente associato
  • Analytics social: impressioni, reach, engagement, like, commenti, condivisioni dei post pubblicati

5.3 Dati provenienti da terze parti

  • Token di accesso social: token OAuth di Facebook, Instagram, LinkedIn, Twitter/X (crittografati nel database). Questi token autorizzano la Piattaforma a pubblicare contenuti e raccogliere analytics per conto dell'utente. Le autorizzazioni (scope) richieste sono limitate al minimo necessario: pubblicazione post, lettura metriche, gestione pagine. L'utente puo revocare questi token in qualsiasi momento dalle impostazioni della piattaforma social di riferimento.
  • Dati delle pagine social: nome pagina, ID pagina, numero follower, metriche di performance
  • Cookie di profilazione: dati raccolti tramite Google Analytics e Meta Pixel (se attivi e solo previo consenso esplicito)

6. Base Giuridica del Trattamento

Trattiamo i tuoi dati personali sulla base delle seguenti basi giuridiche:

Base Giuridica Riferimento GDPR Esempio
Esecuzione del contratto Art. 6(1)(b) Fornire i servizi della Piattaforma, gestire l'account, pubblicare contenuti
Consenso Art. 6(1)(a) Cookie di profilazione (Google Analytics, Meta Pixel), comunicazioni promozionali
Obbligo legale Art. 6(1)(c) Obblighi fiscali e contabili, richieste dell'autorita giudiziaria
Legittimo interesse Art. 6(1)(f) Sicurezza della piattaforma, prevenzione frodi, analisi aggregate anonime per miglioramento del servizio (vedi sotto)

6.1 Bilanciamento del legittimo interesse

Quando ci basiamo sul legittimo interesse (Art. 6(1)(f)), abbiamo effettuato un bilanciamento tra i nostri interessi legittimi e i tuoi diritti e liberta fondamentali. In particolare:

  • Sicurezza della piattaforma: il nostro interesse a prevenire accessi non autorizzati, frodi e abusi prevale in quanto la mancata protezione esporrebbe tutti gli utenti a rischi concreti. I dati trattati (IP, user agent, log di accesso) sono limitati al minimo necessario e conservati per un periodo limitato.
  • Miglioramento del servizio: utilizziamo esclusivamente dati aggregati e anonimizzati (che non costituiscono dati personali ai sensi dell'Art. 4(1) GDPR) per analizzare l'uso della Piattaforma. L'analisi non anonimizzata del comportamento individuale degli utenti avviene solo previo consenso tramite cookie di analytics.

Puoi opporti al trattamento basato sul legittimo interesse in qualsiasi momento (Art. 21 GDPR) contattandoci ai recapiti indicati nella sezione Contatti.

7. Finalita del Trattamento

Utilizziamo i tuoi dati personali per le seguenti finalita:

  • Erogazione del servizio: creazione e gestione account, pubblicazione contenuti sui social media, gestione clienti e campagne, analisi performance
  • Comunicazioni di servizio: notifiche di sistema (approvazione post, scadenza token, errori di pubblicazione), email transazionali
  • Assistenza AI (OpenAI): i prompt che invii all'assistente AI vengono trasmessi ai server di OpenAI (tramite API) per generare contenuti e suggerimenti. OpenAI agisce come nostro sub-responsabile del trattamento ai sensi del DPA sottoscritto. I dati inviati tramite l'API non vengono utilizzati da OpenAI per addestrare i propri modelli (come da termini API di OpenAI). I prompt e le risposte possono essere conservati da OpenAI per un massimo di 30 giorni per finalita di monitoraggio abusi, dopodiche vengono eliminati. Lato AIGENCY, le interazioni AI sono conservate per la durata della sessione di lavoro e non oltre.
  • Sicurezza: prevenzione accessi non autorizzati, protezione da abusi, monitoraggio attivita sospette (base giuridica: legittimo interesse)
  • Analisi e profilazione (previo consenso esplicito): tramite Google Analytics e Meta Pixel per comprendere come gli utenti interagiscono con la piattaforma
  • Conformita legale: adempimento degli obblighi di legge e risposta a richieste delle autorita competenti

8. Condivisione dei Dati

8.1 All'interno della tua agency

I dati sono accessibili agli altri utenti della tua agency in base al loro ruolo. Gli amministratori hanno accesso completo ai dati dell'agency, i social manager e copywriter accedono solo ai dati necessari per le loro attivita.

8.2 Fornitori di servizi terzi (Responsabili e sub-responsabili del trattamento)

Ci avvaliamo dei seguenti fornitori di servizi che trattano dati per nostro conto:

Fornitore Finalita Dati condivisi Sede
IONOS SE Hosting applicazione e database Tutti i dati archiviati nella Piattaforma Germania / UE
OpenAI, LLC Generazione contenuti AI (API) Prompt, contesto fornito dall'utente USA (DPF certified, DPA sottoscritto)
Meta Platforms, Inc. Pubblicazione contenuti su Facebook/Instagram, analytics Contenuti post, token di accesso, metriche USA (DPF certified)
LinkedIn Corporation (Microsoft) Pubblicazione contenuti su LinkedIn Contenuti post, token di accesso USA (DPF certified)
X Corp. (ex Twitter) Pubblicazione contenuti su X/Twitter Contenuti post, token di accesso USA (SCC applicate)
Google LLC Analisi utilizzo piattaforma (Google Analytics) Dati di navigazione con IP anonimizzato USA (DPF certified, previo consenso)
Meta Platforms, Inc. Analisi conversioni (Meta Pixel) Dati di navigazione USA (DPF certified, previo consenso)

Ciascun fornitore e vincolato da un accordo di trattamento dati (DPA) conforme all'Art. 28 GDPR e tratta i dati esclusivamente secondo le nostre istruzioni documentate.

Nota sugli SMTP delle agency: ciascuna agency puo configurare un proprio server SMTP per l'invio di email di notifica. In tal caso, l'agency e responsabile della scelta del provider e della relativa conformita normativa (vedi sezione 4.3).

8.3 Autorita e obblighi di legge

Possiamo comunicare i tuoi dati alle autorita competenti qualora richiesto dalla legge o per proteggere i nostri diritti legali in sede giudiziaria.

8.4 Non vendiamo i tuoi dati

Non vendiamo, affittiamo o scambiamo i tuoi dati personali con terze parti per finalita di marketing o profilazione commerciale propria. Non condividiamo ne monetizziamo dati aggregati o anonimizzati derivanti dal tuo utilizzo della Piattaforma.

9. Trasferimenti Internazionali

Alcuni dei nostri fornitori di servizi (OpenAI, Meta, Google, LinkedIn, X Corp.) hanno sede negli Stati Uniti. In caso di trasferimento di dati al di fuori dello Spazio Economico Europeo (SEE), garantiamo un livello adeguato di protezione tramite i seguenti meccanismi, applicati indipendentemente e cumulativamente:

  • Decisioni di adeguatezza: EU-US Data Privacy Framework (Decisione della Commissione Europea del 10 luglio 2023) per i fornitori certificati DPF (Meta, Google, LinkedIn/Microsoft, OpenAI)
  • Clausole Contrattuali Standard (SCC): approvate dalla Commissione Europea con Decisione 2021/914, utilizzate come meccanismo indipendente e in particolare per X Corp. che potrebbe non essere certificata DPF
  • Misure tecniche supplementari: crittografia dei dati in transito (TLS) e a riposo, pseudonimizzazione ove applicabile, minimizzazione dei dati trasferiti

In caso di invalidazione del Data Privacy Framework (come avvenuto per i predecessori Safe Harbor e Privacy Shield), adotteremo tempestivamente meccanismi alternativi conformi al Capo V del GDPR.

10. Conservazione dei Dati

Conserviamo i tuoi dati per il tempo strettamente necessario alle finalita per cui sono stati raccolti:

Tipo di dato Periodo di conservazione
Dati account (attivo) Per tutta la durata del rapporto contrattuale
Dati account (cancellato) 30 giorni per consentire eventuale recupero, poi eliminazione definitiva e irreversibile
Activity log Massimo 365 giorni. Il periodo esatto e configurato dall'amministratore dell'agency entro questo limite massimo (default: 90 giorni)
Dati fiscali e di fatturazione 10 anni (obbligo legale italiano, Art. 2220 c.c.)
Backup di sicurezza Fino a 30 giorni, dopodiche i backup vengono sovrascritti. I dati gia eliminati dal sistema principale non sono recuperabili dopo la sovrascrittura del backup.
Interazioni AI (prompt e risposte) Durata della sessione di lavoro lato AIGENCY; fino a 30 giorni lato OpenAI per monitoraggio abusi
Dati di profilazione (cookie) Vedi Cookie Policy per dettagli specifici per ciascun cookie

11. Sicurezza dei Dati

Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati:

  • Crittografia in transito: tutte le comunicazioni avvengono tramite protocollo HTTPS/TLS
  • Crittografia dei dati sensibili: le password sono hashate con bcrypt, i token social e le password SMTP sono crittografati nel database
  • Controllo degli accessi: autenticazione obbligatoria, autorizzazione basata su ruoli (RBAC), protezione brute-force (5 tentativi per email/IP)
  • Isolamento multi-tenant: i dati di ciascuna agency sono rigorosamente separati tramite scope globale su agency_id; nessuna agency puo accedere ai dati di un'altra
  • Protezione CSRF: tutte le form sono protette da token anti-CSRF
  • Security headers: X-Frame-Options, X-Content-Type-Options, HSTS in produzione
  • Validazione upload: controllo MIME type e verifica reale del tipo di file tramite finfo
  • Backup regolari: backup crittografati giornalieri

Nonostante le nostre misure di sicurezza, nessun sistema e completamente immune da rischi. Ti consigliamo di utilizzare password forti e uniche e di non condividere le tue credenziali. In caso di violazione dei dati (data breach), provvederemo a notificare l'Autorita Garante entro 72 ore (Art. 33 GDPR) e, se necessario, gli interessati (Art. 34 GDPR).

12. I Tuoi Diritti

Ai sensi del GDPR, hai i seguenti diritti sui tuoi dati personali:

Diritto Riferimento Descrizione
Accesso Art. 15 Ottenere copia dei tuoi dati personali e informazioni sul trattamento
Rettifica Art. 16 Correggere dati inesatti o completare dati incompleti (anche dalla sezione Profilo della Piattaforma)
Cancellazione Art. 17 Richiedere la cancellazione dei tuoi dati ("diritto all'oblio"), salvo obblighi di legge
Limitazione Art. 18 Limitare il trattamento in determinate circostanze (es. contestazione accuratezza dati)
Portabilita Art. 20 Ricevere i tuoi dati in formato strutturato e leggibile da macchina (JSON, CSV). Per esercitare questo diritto, invia una richiesta all'indirizzo email indicato sotto; i dati saranno forniti entro 30 giorni.
Opposizione Art. 21 Opporti al trattamento basato su legittimo interesse o per marketing diretto
Revoca del consenso Art. 7(3) Revocare il consenso in qualsiasi momento senza pregiudizio per la liceita del trattamento basato sul consenso prestato prima della revoca

Come esercitare i tuoi diritti

Per esercitare uno qualsiasi dei diritti sopra elencati, contattaci all'indirizzo:

Risponderemo alla tua richiesta verificata entro 30 giorni dalla ricezione, come previsto dall'Art. 12(3) GDPR. In casi di particolare complessita, il termine puo essere esteso di ulteriori 60 giorni con comunicazione motivata. L'esercizio dei diritti e gratuito, salvo richieste manifestamente infondate o eccessive (Art. 12(5) GDPR).

Diritto di reclamo

Hai il diritto di proporre reclamo all'Autorita Garante per la Protezione dei Dati Personali:

13. Decisioni Automatizzate e Profilazione

Ai sensi dell'Art. 22 GDPR, ti informiamo che la Piattaforma non effettua decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producano effetti giuridici o incidano significativamente sulla tua persona.

L'assistente AI (OpenAI) genera suggerimenti di contenuto sulla base dei prompt forniti dall'utente, ma ogni contenuto generato viene sempre sottoposto a revisione umana prima della pubblicazione. L'AI non prende decisioni autonome su account, accesso, approvazione contenuti o qualsiasi altra funzione con effetti giuridici.

La Piattaforma utilizza cookie e tecnologie simili. Per informazioni dettagliate su quali cookie utilizziamo, le loro finalita, la durata e come gestirli, consulta la nostra Cookie Policy.

In sintesi, utilizziamo:

  • Cookie essenziali: necessari per il funzionamento della Piattaforma (sessione, CSRF token, autenticazione, preferenze cookie)
  • Cookie di profilazione/analytics (previo consenso esplicito): Google Analytics per analisi del traffico, Meta Pixel per analisi conversioni

Le preferenze di tema (chiaro/scuro) e layout (sidebar) sono memorizzate tramite localStorage del browser, una tecnologia di storage locale che non trasmette dati a server esterni e non effettua tracciamento dell'utente.

15. Minori

I servizi di AIGENCY sono destinati esclusivamente a utenti maggiorenni (18 anni o piu) e a professionisti del settore. Non raccogliamo consapevolmente dati personali di minori. Se veniamo a conoscenza di aver raccolto dati di un minore, procederemo immediatamente alla cancellazione e alla chiusura dell'account.

16. Modifiche alla Privacy Policy

Ci riserviamo il diritto di aggiornare questa Privacy Policy per riflettere modifiche alle nostre pratiche o per adeguarci a nuovi requisiti normativi. Le modifiche sostanziali saranno comunicate tramite:

  • Email all'indirizzo associato al tuo account
  • Notifica all'interno della Piattaforma
  • Aggiornamento della data "Ultimo aggiornamento" e del numero di versione in cima a questo documento

In caso di modifiche alla Cookie Policy che comportino l'introduzione di nuove categorie di cookie, il banner dei cookie verra ripresentato per raccogliere un nuovo consenso.

17. Contatti

Per qualsiasi domanda relativa a questa Privacy Policy o al trattamento dei tuoi dati personali, puoi contattarci ai seguenti recapiti:

Titolare del Trattamento Riccardo Capece
Indirizzo Via Verga 20, Grottammare (AP)
Email Privacy riccardoocapece@gmail.com
PEC riccardocapece@pec.it