Privacy Policy - Carrot Studio
Torna alla Homepage Conforme GDPR

Privacy Policy

Ultimo aggiornamento: 22 dicembre 2025

La presente Privacy Policy descrive come CarrotHub Studio (di seguito "Carrot Studio", "noi", "nostro/a") raccoglie, utilizza, conserva e protegge i dati personali degli utenti in conformità con il Regolamento (UE) 2016/679 (GDPR) e il D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (Codice Privacy italiano).

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

CarrotHub Studio
P.IVA: 12345678901
Sede: Milano, Italia
Email: info@carrotstudio.it
Sito web: carrothub.io

In caso di domande relative al trattamento dei tuoi dati personali o per l'esercizio dei tuoi diritti, puoi contattarci utilizzando i recapiti sopra indicati.

2. Categorie di Dati Raccolti

Raccogliamo e trattiamo diverse categorie di dati personali in relazione ai servizi offerti:

2.1 Dati Identificativi e di Contatto

  • Nome e cognome
  • Indirizzo email
  • Numero di telefono
  • Ragione sociale (per clienti business)
  • Partita IVA / Codice Fiscale
  • Indirizzo postale

2.2 Dati di Navigazione

  • Indirizzo IP
  • Browser e dispositivo utilizzato
  • Sistema operativo
  • Pagine visitate e tempo di permanenza
  • Timestamp di accesso
  • URL di provenienza e referrer

2.3 Dati Contrattuali e Commerciali

  • Informazioni sui progetti commissionati
  • Comunicazioni e corrispondenza
  • Preventivi e contratti
  • Specifiche tecniche e requisiti
  • Feedback e valutazioni

2.4 Dati di Pagamento

  • Dati di fatturazione
  • Storico transazioni (elaborato tramite Stripe)
  • Metodi di pagamento (tokenizzati da Stripe)

⚠️ Importante - Dati di Pagamento

Non memorizziamo direttamente i dati completi della tua carta di credito. Tutte le transazioni sono elaborate tramite Stripe, certificato PCI-DSS Level 1 (il massimo livello di sicurezza per l'elaborazione dei pagamenti). Riceviamo solo token crittografati e informazioni limitate necessarie per la gestione delle transazioni.

2.5 Dati Tecnici dei Progetti

Nel corso dello sviluppo dei progetti, potremmo trattare:

  • Contenuti caricati dai clienti (testi, immagini, documenti)
  • Database e strutture dati
  • Credenziali di accesso (memorizzate in modo crittografato)
  • Configurazioni e API keys
  • Log tecnici e debugging

3. Finalità e Base Giuridica del Trattamento

Trattiamo i tuoi dati personali per le seguenti finalità, ciascuna basata su una specifica base giuridica conforme al GDPR:

Finalità Base Giuridica (GDPR)
Esecuzione del contratto
Fornitura dei servizi di sviluppo software, gestione progetti, comunicazioni relative al servizio		 Art. 6(1)(b) - Esecuzione di un contratto o misure precontrattuali
Adempimenti fiscali e contabili
Emissione fatture, tenuta della contabilità, adempimenti tributari		 Art. 6(1)(c) - Obbligo legale
Marketing diretto
Invio newsletter, comunicazioni promozionali, offerte commerciali		 Art. 6(1)(a) - Consenso esplicito (opzionale, revocabile)
Miglioramento servizi
Analisi statistiche, ottimizzazione UX, sviluppo nuove funzionalità		 Art. 6(1)(f) - Legittimo interesse del titolare
Sicurezza e prevenzione frodi
Protezione dei sistemi, rilevamento attività anomale, prevenzione abusi		 Art. 6(1)(f) - Legittimo interesse del titolare
Difesa in giudizio
Tutela dei diritti in sede giudiziaria o stragiudiziale		 Art. 6(1)(f) - Legittimo interesse del titolare

💡 Consenso Opzionale

Per alcune finalità (es. marketing) il trattamento è basato sul tuo consenso esplicito. Hai sempre il diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca.

4. Modalità di Raccolta dei Dati

Raccogliamo i tuoi dati personali attraverso diverse modalità:

4.1 Raccolta Diretta

  • Form di contatto sul sito web
  • Email inviate a info@carrotstudio.it
  • Discovery call e consultazioni iniziali
  • Contratti e ordini di servizio
  • Comunicazioni telefoniche

4.2 Raccolta Automatica

  • Cookie e tecnologie simili (vedi Cookie Policy)
  • Google Analytics per analisi del traffico
  • Log del server per sicurezza e performance
  • Pixel di tracciamento nelle email (per email transazionali)

4.3 Dati da Terze Parti

In alcuni casi potremmo ricevere dati da:

  • Partner commerciali che ci segnalano clienti
  • Fornitori di servizi (es. Stripe per dati di pagamento)
  • Fonti pubblicamente accessibili (es. registri camerali per dati aziendali)

5. Destinatari dei Dati

I tuoi dati personali possono essere comunicati o accessibili alle seguenti categorie di destinatari:

5.1 Personale Interno

Dipendenti e collaboratori di Carrot Studio espressamente autorizzati al trattamento e vincolati da obblighi di riservatezza.

5.2 Fornitori di Servizi (Responsabili del Trattamento)

  • Webflow - hosting e gestione sito web
  • Supabase - database e backend services
  • Stripe - elaborazione pagamenti
  • Google Analytics - analisi statistiche
  • Vercel - hosting e CDN
  • Provider email - invio comunicazioni
  • Servizi cloud - storage e backup

5.3 Soggetti Legittimati per Legge

  • Autorità giudiziarie e forze dell'ordine (su richiesta legittima)
  • Agenzia delle Entrate e altri enti fiscali
  • Commercialisti e consulenti fiscali
  • Avvocati per tutela legale

5.4 Trasferimenti Extra-UE

Alcuni dei nostri fornitori di servizi potrebbero trasferire dati al di fuori dello Spazio Economico Europeo (SEE). In tali casi, garantiamo che:

  • I trasferimenti siano basati su clausole contrattuali standard approvate dalla Commissione Europea
  • I fornitori siano certificati secondo frameworks riconosciuti (es. EU-US Data Privacy Framework)
  • Siano adottate misure di sicurezza supplementari per proteggere i dati

🌍 Trasferimenti Internazionali

Fornitori come Google, Stripe e Vercel possono trasferire dati negli Stati Uniti. Tutti questi fornitori sono conformi alle normative GDPR e utilizzano meccanismi di trasferimento approvati.

6. Conservazione dei Dati

Conserviamo i tuoi dati personali solo per il tempo necessario a conseguire le finalità per cui sono stati raccolti:

Tipologia Dati Periodo di Conservazione
Dati contrattuali 10 anni dalla conclusione del contratto (obblighi fiscali e contabili)
Fatture e documenti fiscali 10 anni dalla data di emissione (normativa fiscale)
Comunicazioni commerciali Fino alla revoca del consenso o opposizione al trattamento
Dati di navigazione (log) 6 mesi (salvo necessità investigative)
Cookie analitici 26 mesi (Google Analytics)
Preventivi non accettati 2 anni dalla richiesta
Backup di sicurezza 90 giorni (poi cancellazione automatica)

Decorsi i periodi sopra indicati, i dati saranno cancellati o resi anonimi in modo irreversibile.

7. I Tuoi Diritti

In conformità con gli articoli 15-22 del GDPR, hai il diritto di esercitare i seguenti diritti in qualsiasi momento:

🔍 Diritto di Accesso

Ottenere conferma dell'esistenza di un trattamento dei tuoi dati e riceverne copia completa.

✏️ Diritto di Rettifica

Correggere dati personali inesatti o integrare dati incompleti.

🗑️ Diritto alla Cancellazione

Richiedere la cancellazione dei tuoi dati (diritto all'oblio), compatibilmente con obblighi di legge.

⏸️ Diritto di Limitazione

Ottenere la limitazione del trattamento in determinate circostanze.

📦 Diritto alla Portabilità

Ricevere i tuoi dati in formato strutturato, leggibile e trasferibile ad altro titolare.

🚫 Diritto di Opposizione

Opporti al trattamento per finalità di marketing diretto o legittimo interesse.

❌ Revoca del Consenso

Revocare il consenso prestato in qualsiasi momento, senza pregiudicare trattamenti precedenti.

⚖️ Diritto di Reclamo

Presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali.

Come Esercitare i Tuoi Diritti

Per esercitare uno qualsiasi dei diritti sopra elencati, puoi:

  • Inviare una richiesta via email a info@carrotstudio.it
  • Inviare una comunicazione raccomandata all'indirizzo della sede legale
  • Utilizzare il modulo disponibile sul sito (se implementato)

Ti risponderemo entro 30 giorni dalla ricezione della richiesta. In casi di particolare complessità, il termine può essere prorogato di ulteriori 60 giorni, previa comunicazione.

📋 Verifica dell'Identità

Per garantire la sicurezza dei tuoi dati, potremmo richiederti di fornire informazioni aggiuntive per verificare la tua identità prima di evadere la richiesta.

Reclamo al Garante Privacy

Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai il diritto di presentare reclamo al Garante per la Protezione dei Dati Personali:

Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 - 00187 Roma
Tel: +39 06 696771
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Sito: www.garanteprivacy.it

8. Misure di Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione:

8.1 Misure Tecniche

  • Crittografia TLS/SSL per tutte le comunicazioni (HTTPS)
  • Crittografia a riposo per database e backup
  • Autenticazione a due fattori (2FA) per accessi amministrativi
  • Firewall e sistemi IDS/IPS per protezione perimetrale
  • Tokenizzazione dei dati sensibili (es. pagamenti)
  • Backup automatici giornalieri con retention crittografata
  • Monitoraggio continuo per rilevamento anomalie
  • Patching regolare dei sistemi e software

8.2 Misure Organizzative

  • Minimizzazione dei dati - raccogliamo solo dati strettamente necessari
  • Accesso su base "need-to-know" - solo personale autorizzato
  • Formazione del personale su sicurezza e privacy
  • Procedure di Data Breach Response
  • Audit periodici dei sistemi e processi
  • Contratti di Responsabilità con tutti i fornitori
  • Policy interne su gestione dati e sicurezza

8.3 Data Breach Notification

In caso di violazione di dati personali (data breach) che comporti un rischio per i diritti e le libertà delle persone fisiche:

  • Notificheremo il Garante Privacy entro 72 ore dalla scoperta
  • Comunicheremo tempestivamente agli interessati se il rischio è elevato
  • Documenteremo l'incidente e le misure adottate
  • Implementeremo azioni correttive per prevenire future violazioni

9. Cookie e Tecnologie di Tracciamento

Utilizziamo cookie e tecnologie simili per migliorare l'esperienza utente e analizzare l'utilizzo del sito. Per informazioni dettagliate sui cookie utilizzati, finalità, durata e modalità di gestione, consulta la nostra Cookie Policy.

Gestione delle Preferenze Cookie

Puoi gestire le tue preferenze sui cookie:

  • Tramite il banner cookie al primo accesso al sito
  • Cliccando su "Gestisci Cookie" nel footer del sito
  • Configurando le impostazioni del browser

10. Minori

I nostri servizi non sono destinati a minori di 18 anni. Non raccogliamo consapevolmente dati personali da minori.

Se sei un genitore o tutore e vieni a conoscenza che tuo figlio minorenne ci ha fornito dati personali senza il tuo consenso, ti preghiamo di contattarci immediatamente. Procederemo alla cancellazione immediata di tali dati dai nostri sistemi.

Conformemente al GDPR, per utenti di età compresa tra 13 e 16 anni, il trattamento dei dati personali è lecito solo se e nella misura in cui il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

11. Marketing e Comunicazioni Promozionali

11.1 Marketing via Email

Con il tuo consenso esplicito, potremmo inviarti:

  • Newsletter con aggiornamenti sui nostri servizi
  • Offerte commerciali e promozioni
  • Inviti a eventi o webinar
  • Case study e contenuti educativi

11.2 Opt-out

Puoi disiscriverti dalle comunicazioni marketing in qualsiasi momento:

  • Cliccando sul link "Disiscriviti" in fondo a ogni email
  • Inviando una richiesta a info@carrotstudio.it
  • Gestendo le preferenze nel tuo account (se applicabile)

⚠️ Email Transazionali

Anche se ti disiscrivi dal marketing, continueremo a inviarti email transazionali essenziali relative ai servizi che hai richiesto (conferme ordini, aggiornamenti contrattuali, fatture, supporto tecnico).

12. Decisioni Automatizzate e Profilazione

Non effettuiamo decisioni basate unicamente su trattamenti automatizzati, inclusa la profilazione, che producano effetti giuridici o incidano significativamente sulla tua persona.

Utilizziamo strumenti di analytics (es. Google Analytics) per comprendere meglio il comportamento aggregato degli utenti e migliorare i nostri servizi, ma tali analisi non comportano decisioni automatizzate su singoli individui.

13. Link a Siti di Terze Parti

Il nostro sito web può contenere link a siti di terze parti. Non siamo responsabili per le pratiche di privacy di tali siti esterni.

Ti consigliamo di leggere attentamente le privacy policy dei siti terzi che visiti, in quanto possono differire sostanzialmente dalla nostra.

14. Modifiche alla Privacy Policy

Potremmo aggiornare periodicamente questa Privacy Policy per riflettere:

  • Modifiche normative o interpretazioni del Garante Privacy
  • Evoluzione delle nostre pratiche di business
  • Introduzione di nuovi servizi o tecnologie
  • Feedback degli utenti e best practice del settore

La data di ultimo aggiornamento è sempre indicata in cima alla pagina.

Notifica delle Modifiche

In caso di modifiche sostanziali che incidano sui tuoi diritti, ti informeremo attraverso:

  • Banner prominente sul sito web
  • Email all'indirizzo fornito (per utenti registrati)
  • Richiesta di nuovo consenso (se necessario)

Ti invitiamo a consultare periodicamente questa pagina per rimanere informato su come proteggiamo i tuoi dati.

15. Base Legale e Conformità Normativa

Questa Privacy Policy è redatta in conformità con:

  • Regolamento UE 2016/679 (GDPR) - Regolamento Generale sulla Protezione dei Dati
  • D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 - Codice in materia di protezione dei dati personali
  • Provvedimenti del Garante per la Protezione dei Dati Personali
  • Linee guida EDPB (European Data Protection Board)
  • ePrivacy Directive 2002/58/EC (per cookie e comunicazioni elettroniche)

16. Trattamento Dati per Clienti Business (B2B)

Se sei un cliente business (azienda, professionista), alcuni dati trattati potrebbero non essere soggetti al GDPR in quanto non costituiscono dati personali (es. email aziendale generica, numero di telefono aziendale).

Tuttavia, applichiamo comunque elevati standard di protezione e sicurezza a tutti i dati che trattiamo, indipendentemente dalla loro qualificazione giuridica.

17. Dati di Contatto del Responsabile Protezione Dati (DPO)

Considerata la dimensione e la natura della nostra attività, non siamo obbligati a designare un Data Protection Officer (DPO) ai sensi dell'art. 37 GDPR.

Per qualsiasi questione relativa al trattamento dei dati personali, puoi contattare direttamente il Titolare del trattamento ai recapiti indicati nella sezione 1.

Hai domande sulla Privacy?

Per qualsiasi domanda o richiesta relativa al trattamento dei tuoi dati personali, all'esercizio dei tuoi diritti o alla presente Privacy Policy:

Email: info@carrotstudio.it

Titolare del Trattamento:
Carrot Studio

Tempo di risposta: entro 7 giorni dalla richiesta