Privacy Policy
Informativa sul trattamento dei dati personali ai sensi dell'art. 13 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (Codice della Privacy). La presente informativa si applica al sito web datahood.it e alla piattaforma app.datahood.it.
Indice
- 1. Titolare del trattamento
- 2. Tipologie di dati trattati e finalità
- 3. Basi giuridiche del trattamento
- 4. Dati di categoria particolare (Art. 9 GDPR)
- 5. Profilazione e decisioni automatizzate
- 6. Destinatari e responsabili del trattamento
- 7. Trasferimenti verso paesi terzi
- 8. Periodi di conservazione
- 9. Diritti dell'interessato
- 10. Cookie e strumenti tecnici
- 11. Marketing diretto
- 12. Sicurezza e violazioni dei dati
- 13. Responsabile della Protezione dei Dati (RPD/DPO)
- 14. Minori
- 15. Modifiche alla presente informativa
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è DataHood (di seguito "DataHood", "noi" o "il Titolare").
DataHood
Email: datahood.org@gmail.com
Per qualsiasi richiesta relativa al trattamento dei tuoi dati personali, puoi contattarci all'indirizzo email sopra indicato.
2. Tipologie di dati trattati e finalità
DataHood tratta le seguenti categorie di dati personali per le finalità indicate:
| Categoria di dati | Finalità | Obbligatorio |
|---|---|---|
| Dati identificativi (nome, email) | Creazione e gestione dell'account; comunicazioni di servizio; pagamento quota ricavi | Sì — senza questi dati non è possibile utilizzare il servizio |
| Dati di accesso (Google OAuth, sessione) | Autenticazione sicura alla piattaforma | Sì — necessario per il login |
| Dati del profilo base (età, genere, area geografica, composizione familiare) | Generazione di segmenti aggregati anonimi; calcolo della quota ricavi | No — volontario; la mancata fornitura esclude dai relativi segmenti |
| Dati di acquisto e comportamento di spesa | Segmenti Purchase Intent, Retail & Category Shoppers | No — volontario |
| Dati fitness e salute (attività fisica, frequenza cardiaca, obiettivi, integratori) | Segmento Fitness & Health. DATI DI CATEGORIA PARTICOLARE ex Art. 9 GDPR | No — soggetti a consenso esplicito separato |
| Dati di mobilità e localizzazione (tipo zona, spostamenti abituali) | Segmento Location-Based & Mobility | No — volontario |
| Dati reddituali e patrimonio (fascia reddito, acquisti high-ticket) | Segmento High-Value / Premium | No — volontario |
| Dati comportamento digitale (interessi, dispositivi, piattaforme) | Segmento Digital Behavior & Interest | No — volontario |
| Dati eventi di vita e stile di vita | Segmento Life Event & Lifestyle | No — volontario |
| Email lista d'attesa (waitlist) | Comunicarti l'apertura della beta; invio del bonus €5 ai primi 100 iscritti | No — volontario; la mancata fornitura impedisce l'iscrizione alla lista |
| Log di sicurezza (IP, timestamp, tipo di azione) | Prevenzione frodi; sicurezza della piattaforma; adempimento obblighi di legge | Sì — automatico |
| Dati contabili e transazionali (pagamenti quota ricavi) | Adempimenti fiscali e contabili ai sensi del Codice Civile e della normativa fiscale italiana | Sì — obbligatorio di legge |
Cosa NON facciamo mai
- ✗ Non vendiamo mai i tuoi dati grezzi a terzi
- ✗ Non condividiamo record individuali identificabili con aziende acquirenti
- ✗ Non utilizziamo i tuoi dati per pubblicità comportamentale su piattaforme terze
- ✗ I segmenti ceduti alle aziende sono esclusivamente aggregati anonimi, prodotti tramite algoritmo di Differential Privacy (meccanismo di Laplace, ε=1,0) che rende matematicamente impossibile risalire all'identità del singolo interessato
3. Basi giuridiche del trattamento
Per ogni finalità di trattamento si applica la base giuridica indicata:
| Finalità | Base giuridica |
|---|---|
| Erogazione del servizio, gestione account, pagamento ricavi | Art. 6(1)(b) GDPR — esecuzione del contratto |
| Dati del profilo, acquisti, localizzazione, comportamento digitale, eventi vita | Art. 6(1)(a) GDPR — consenso dell'interessato |
| Dati fitness e salute | Art. 9(2)(a) GDPR — consenso esplicito (consenso separato e rafforzato) |
| Comunicazioni transazionali (conferma iscrizione, notifiche pagamento) | Art. 6(1)(b) GDPR — esecuzione del contratto |
| Sicurezza, prevenzione frodi, log tecnici | Art. 6(1)(f) GDPR — legittimo interesse del Titolare |
| Adempimenti fiscali e contabili | Art. 6(1)(c) GDPR — obbligo legale |
| Lista d'attesa (waitlist) | Art. 6(1)(a) GDPR — consenso |
| Comunicazioni promozionali via email | Art. 6(1)(a) GDPR — consenso preventivo (art. 130 D.Lgs. 196/2003) |
Ai sensi dell'art. 130 del D.Lgs. 196/2003 (Codice della Privacy), le comunicazioni commerciali elettroniche dirette agli utenti italiani richiedono consenso preventivo, specifico e liberamente prestato. Non utilizziamo il legittimo interesse come base giuridica per attività di marketing diretto.
Puoi revocare il consenso in qualsiasi momento attraverso le impostazioni del tuo account (sezione "Il tuo Vault" → "Consensi") oppure contattandoci a datahood.org@gmail.com. La revoca non pregiudica la liceità del trattamento effettuato prima della stessa.
4. Dati di categoria particolare (Art. 9 GDPR)
⚠ Avviso — Dati sulla salute
I dati relativi a fitness e salute (attività fisica, frequenza cardiaca, obiettivi di salute, uso di integratori, dati biometrici) costituiscono dati di categoria particolare ai sensi dell'art. 9 GDPR e dell'art. 2-sexies D.Lgs. 196/2003. Il loro trattamento da parte di DataHood avviene esclusivamente sulla base del tuo consenso esplicito, prestato tramite una schermata dedicata e separata in sede di configurazione del profilo.
Il consenso al trattamento dei dati sulla salute è distinto e indipendente dal consenso generale all'utilizzo della piattaforma. Puoi utilizzare DataHood e beneficiare degli altri segmenti di dati anche senza fornire questo consenso.
Il consenso esplicito richiede una dichiarazione affermativa positiva che specifichi:
- La natura dei dati trattati (dati sulla salute e fitness)
- La finalità specifica (creazione di segmenti aggregati anonimi per ricerca di mercato)
- La possibilità di revoca in qualsiasi momento senza conseguenze sull'utilizzo del servizio
In conformità con le indicazioni del Garante per la protezione dei dati personali (Provvedimento del 10 giugno 2021 e linee guida per le app di tipo non sanitario), DataHood non elabora i dati sulla salute sulla base di nessun'altra eccezione all'art. 9(2) GDPR se non il consenso esplicito dell'interessato.
5. Profilazione e decisioni automatizzate
DataHood effettua trattamenti automatizzati di dati personali che costituiscono profilazione ai sensi dell'art. 4(4) e dell'art. 22 GDPR. In particolare:
Classificazione nei segmenti
Il sistema assegna automaticamente ogni utente a uno o più dei 7 segmenti premium (es. "Purchase Intent", "Fitness & Health", "High-Value / Premium") in base ai dati forniti attraverso il wizard di profilazione e le integrazioni collegate. Questa classificazione determina direttamente il livello di guadagno (Bronzo, Argento, Oro) e la quota di ricavi ricevuta.
Logica dell'algoritmo di segmentazione
L'assegnazione avviene tramite un algoritmo basato su regole deterministiche (non su apprendimento automatico): ogni tipo di dato fornito corrisponde a specifici segmenti. Ad esempio, la dichiarazione di attività sportiva e obiettivi di fitness porta all'inclusione nel segmento "Fitness & Health". Non viene utilizzata alcuna inferenza o deduzione su dati non esplicitamente forniti dall'utente.
Differential Privacy sull'output
Prima che i conteggi aggregati siano pubblicati verso le aziende acquirenti, viene applicato il meccanismo di Laplace (ε=1,0): a ogni statistica viene aggiunto un rumore casuale che rende matematicamente impossibile determinare con certezza se un singolo individuo sia incluso in un determinato segmento. I segmenti con meno di 50 utenti vengono soppressi e non pubblicati.
Ai sensi dell'art. 22 GDPR, hai il diritto di:
- Richiedere una revisione umana della tua classificazione nei segmenti e del livello di guadagno assegnato
- Contestare il risultato della profilazione automatica
- Esprimere il tuo punto di vista prima che la decisione produca effetti definitivi
Per esercitare questi diritti, contatta datahood.org@gmail.com.
6. Destinatari e responsabili del trattamento
I tuoi dati personali non vengono venduti a terzi. Vengono comunicati esclusivamente ai soggetti indicati di seguito, nella misura strettamente necessaria per le finalità descritte nella presente informativa.
Responsabili del trattamento (art. 28 GDPR)
DataHood ha stipulato o stipulerà un accordo di trattamento dei dati (Data Processing Agreement — DPA) con ciascuno dei seguenti fornitori:
| Fornitore | Servizio | Sede | Dati trattati |
|---|---|---|---|
| Supabase, Inc. | Database, storage, backend | USA (server EU — AWS EU-West-1, Irlanda) | Tutti i dati dell'account e del Vault cifrati AES-256-GCM |
| Google LLC | Autenticazione OAuth (Google Sign-In) | USA | Email, nome, foto profilo Google; evento di autenticazione |
| Vercel, Inc. | Hosting applicazione web | USA (edge EU disponibile) | Indirizzo IP, header HTTP, log richieste |
Aziende acquirenti di segmenti
Le aziende che acquistano i segmenti ricevono esclusivamente file CSV aggregati e anonimi. Questi file contengono esclusivamente conteggi statistici con rumore differenziale applicato, senza alcun identificativo, pseudonimo o attributo che possa ricondurre a un individuo specifico. Tali dati aggregati non costituiscono dati personali ai sensi del Considerando 26 GDPR e non sono soggetti alle disposizioni del Regolamento.
Autorità competenti
I dati personali possono essere comunicati ad autorità giudiziarie o amministrative italiane o europee, ove richiesto da obblighi di legge o da provvedimenti dell'autorità.
7. Trasferimenti verso paesi terzi
Alcuni dei responsabili del trattamento descritti nella sezione 6 hanno sede negli Stati Uniti d'America, paese non ritenuto adeguato dalla Commissione Europea ai fini della protezione dei dati personali in via generale. I trasferimenti avvengono nel rispetto delle garanzie previste dall'art. 46 GDPR:
| Fornitore | Garanzia |
|---|---|
| Supabase (server AWS EU-West-1) | Nessun trasferimento — dati conservati nell'UE |
| Google LLC (autenticazione) | EU-US Data Privacy Framework + Clausole Contrattuali Standard (SCC) |
| Vercel, Inc. | EU-US Data Privacy Framework + Clausole Contrattuali Standard (SCC) |
Puoi richiedere copia delle garanzie adottate contattando datahood.org@gmail.com.
8. Periodi di conservazione
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, in conformità al principio di limitazione della conservazione (art. 5(1)(e) GDPR).
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati account (email, profilo base) | Durata del rapporto contrattuale + 30 giorni dalla cancellazione dell'account |
| Dati grezzi del Vault (acquisti, fitness, localizzazione, ecc.) cifrati AES-256-GCM | Massimo 12 mesi dalla raccolta, poi cancellazione crittografica (distruzione della chiave) |
| Segmenti aggregati anonimi | Illimitato — non soggetti al GDPR (Considerando 26) |
| Registri dei consensi (audit trail) | Durata del rapporto + 5 anni dalla chiusura dell'account |
| Dati contabili e transazionali (pagamenti ricavi) | 10 anni dalla transazione (art. 2220 c.c. e normativa fiscale italiana) |
| Log di sicurezza e accesso | 12 mesi |
| Email lista d'attesa (waitlist) | Fino all'apertura della beta o 24 mesi dalla registrazione, se prima |
| Comunicazioni con il supporto | 3 anni dall'ultima interazione |
| Documentazione violazioni dei dati | Minimo 5 anni |
Alla scadenza del periodo di conservazione, i dati vengono cancellati in modo sicuro o resi definitivamente anonimi. La cancellazione crittografica (distruzione della chiave AES-256-GCM) rende i dati cifrati irrecuperabili in modo equivalente alla cancellazione fisica.
9. Diritti dell'interessato
In qualità di interessato, hai il diritto di esercitare in qualsiasi momento i seguenti diritti, gratuitamente, contattandoci all'indirizzo datahood.org@gmail.com:
Art. 15 — Diritto di accesso
Puoi richiedere conferma che stiamo trattando tuoi dati personali e ottenere una copia di tali dati, insieme alle informazioni su finalità, categorie, destinatari, periodi di conservazione e logica del trattamento automatizzato.
Art. 16 — Diritto di rettifica
Puoi richiedere la correzione di dati inesatti o il completamento di dati incompleti.
Art. 17 — Diritto alla cancellazione ("diritto all'oblio")
Puoi richiedere la cancellazione dei tuoi dati quando: non sono più necessari alle finalità per cui sono stati raccolti; revochi il consenso e non esiste altra base giuridica; ti opponi al trattamento e non vi sono motivi legittimi prevalenti; i dati sono trattati illecitamente. Alcune eccezioni si applicano per obblighi legali o per l'esercizio di diritti in sede giudiziaria.
Art. 18 — Diritto di limitazione del trattamento
Puoi richiedere la limitazione del trattamento (i dati vengono conservati ma non utilizzati) mentre è in corso una contestazione sull'esattezza dei dati, sull'illiceità del trattamento o su un'opposizione al trattamento.
Art. 20 — Diritto alla portabilità dei dati
Puoi ricevere i tuoi dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON o CSV), e trasmetterli a un altro titolare del trattamento. Questo diritto si applica ai dati trattati in base al consenso o a un contratto, con mezzi automatizzati.
Art. 21 — Diritto di opposizione
Puoi opporti in qualsiasi momento al trattamento basato sul nostro legittimo interesse. Cessante il trattamento a meno che non dimostriamo motivi legittimi cogenti che prevalgono sui tuoi interessi. Per il marketing diretto, il diritto di opposizione è assoluto.
Art. 22 — Diritto relativo alla profilazione automatizzata
Puoi richiedere una revisione umana delle decisioni automatizzate che producono effetti significativi su di te, tra cui la tua classificazione nei segmenti e il livello di guadagno assegnato (v. Sezione 5).
Revoca del consenso
Puoi revocare qualsiasi consenso prestato in qualsiasi momento. La revoca non pregiudica la liceità del trattamento effettuato prima della stessa. Per i dati sulla salute, la revoca è operativa in meno di 5 secondi tramite il tuo Vault.
Reclamo all'Autorità di controllo
Hai il diritto di proporre reclamo al Garante per la protezione dei dati personali (Autorità di controllo italiana competente), con sede in Piazza Venezia 11, 00187 Roma. Sito web: www.garanteprivacy.it. Puoi presentare reclamo online tramite il portale del Garante o tramite posta raccomandata. La presentazione del reclamo non pregiudica il tuo diritto di adire le vie giudiziarie ordinarie.
Daremo seguito alle tue richieste entro 30 giorni dal ricevimento. In casi di particolare complessità, il termine può essere prorogato di ulteriori due mesi, previa comunicazione motivata.
10. Cookie e strumenti tecnici
DataHood utilizza esclusivamente cookie tecnici e funzionali strettamente necessari al funzionamento del servizio. Non utilizziamo cookie di profilazione, di tracciamento comportamentale o di marketing. Il tuo consenso non è richiesto per i cookie tecnici, ai sensi dell'art. 122, comma 1, D.Lgs. 196/2003 e delle Linee guida del Garante del 10 giugno 2021.
| Cookie | Tipo | Finalità | Durata |
|---|---|---|---|
| next-auth.session-token | Tecnico — sessione autenticata | Mantiene la sessione dell'utente autenticato | 30 giorni |
| next-auth.csrf-token | Tecnico — sicurezza | Protezione CSRF (Cross-Site Request Forgery) | Sessione |
| next-auth.callback-url | Tecnico — funzionale OAuth | Gestione del flusso di autenticazione OAuth | Sessione |
L'utilizzo di Google Sign-In comporta l'interazione con i server di Google LLC, che può impostare propri cookie sul dominio accounts.google.com. DataHood non ha controllo su tali cookie. Per maggiori informazioni, consulta la Privacy Policy di Google.
11. Marketing diretto
Ai sensi dell'art. 130 del D.Lgs. 196/2003 (Codice della Privacy), DataHood invia comunicazioni promozionali via email esclusivamente previo consenso esplicito e preventivo dell'interessato.
Le comunicazioni di servizio strettamente necessarie all'esecuzione del contratto (es. notifiche di pagamento, aggiornamenti sulla tua quota ricavi, comunicazioni sulla beta) non costituiscono marketing diretto e vengono inviate in base all'art. 6(1)(b) GDPR.
Puoi revocare il consenso alle comunicazioni promozionali in qualsiasi momento cliccando sul link di disiscrizione presente in ogni email o contattando datahood.org@gmail.com.
12. Sicurezza e violazioni dei dati
DataHood adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accesso non autorizzato, alterazione, divulgazione o distruzione (art. 32 GDPR):
- Cifratura dei dati grezzi con AES-256-GCM prima della persistenza su database
- Pseudonimizzazione tramite HMAC-SHA256 degli identificatori utente
- Connessioni cifrate TLS/HTTPS su tutti gli endpoint
- Accesso al database tramite connessione SSL con verifica del certificato
- Autenticazione con sessioni server-side e protezione CSRF
- Differential Privacy sull'output degli aggregati (ε=1,0, meccanismo di Laplace)
In caso di violazione dei dati personali (data breach), DataHood notificherà il Garante per la protezione dei dati personali entro 72 ore dalla conoscenza della violazione, conformemente all'art. 33 GDPR. Qualora la violazione sia suscettibile di presentare un rischio elevato per i tuoi diritti e libertà, ti sarà notificata direttamente senza ingiustificato ritardo (art. 34 GDPR). Poiché i dati del Vault sono cifrati con AES-256-GCM, una violazione che non coinvolga la compromissione delle chiavi crittografiche non comporterà l'obbligo di notifica agli interessati, in quanto i dati resi inaccessibili tramite cifratura sono considerati "incomprensibili a qualsiasi persona non autorizzata ad accedervi" (art. 34(3)(a) GDPR).
13. Responsabile della Protezione dei Dati (RPD/DPO)
In considerazione della natura dei trattamenti effettuati — che includono il trattamento su larga scala di dati di categoria particolare (salute/fitness) e la profilazione sistematica degli utenti — DataHood è consapevole che la designazione di un Responsabile della Protezione dei Dati (RPD, Data Protection Officer) potrebbe diventare obbligatoria al raggiungimento di determinate soglie di scala (artt. 37–39 GDPR).
Nella fase attuale (beta), DataHood ha designato un referente per la privacy, contattabile all'indirizzo:
Referente Privacy DataHood
Email: datahood.org@gmail.com
DataHood procederà alla designazione formale di un DPO prima del lancio della piattaforma su larga scala con trattamento di dati sulla salute, in conformità alle indicazioni del Garante (Docweb 9091942) e alle Linee guida EDPB 10/2020.
14. Minori
I servizi di DataHood sono destinati esclusivamente a persone che abbiano compiuto 18 anni di età. Non raccogliamo consapevolmente dati personali di minori di 18 anni. Se ritieni che un minore abbia fornito dati a DataHood senza il consenso del genitore o tutore, ti invitiamo a contattarci a datahood.org@gmail.com e provvederemo alla cancellazione immediata dei dati.
15. Modifiche alla presente informativa
DataHood si riserva il diritto di modificare la presente informativa per adeguarla a variazioni normative, tecnologiche o operative. Le modifiche sostanziali saranno comunicate agli utenti registrati via email almeno 30 giorni prima dell'entrata in vigore. La versione aggiornata sarà pubblicata su questa pagina con indicazione della data di aggiornamento.
L'utilizzo continuato della piattaforma dopo la comunicazione delle modifiche costituisce accettazione della nuova versione dell'informativa, nei limiti consentiti dalla legge. Per modifiche che richiedano un nuovo consenso (es. nuove finalità o nuove categorie di dati), verrà richiesto un consenso esplicito prima che le nuove operazioni di trattamento abbiano inizio.
Versione 1.0 — 22 marzo 2026