Informativa sulla Privacy
Ultimo aggiornamento: 03/03/2026
Ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR)
1. Titolare del Trattamento
ShopBrain S.r.l.
Sede legale: Via Archimede 7, 71016 San Severo (FG)
P.IVA: 04590440711
PEC: shopbrainsrl@pec.it
Email: admin@growflow.studio
2. Ambito di Applicazione
2.1. La presente Informativa si applica al trattamento dei dati personali effettuato tramite la piattaforma ShopBrain, inclusi la dashboard di gestione, il widget chat integrabile, le API e le integrazioni con servizi terzi.
2.2. Ruoli nel trattamento dei dati:
| Soggetto | Ruolo GDPR | Descrizione |
|---|---|---|
| ShopBrain | Titolare del trattamento | Per i dati dei Clienti (store manager) |
| ShopBrain | Responsabile del trattamento | Per i dati dei Clienti Finali, trattati per conto del Cliente |
| Cliente (store manager) | Titolare del trattamento | Per i dati dei propri Clienti Finali |
3. Dati Personali Raccolti
3.1. Dati dei Clienti (Store Manager)
| Dato | Finalità | Base Giuridica |
|---|---|---|
| Registrazione, comunicazioni, fatturazione | Esecuzione contratto (Art. 6(1)(b)) | |
| Nome e cognome | Identificazione account | Esecuzione contratto |
| Password (hash) | Autenticazione | Esecuzione contratto |
| Indirizzo IP e dati di accesso | Sicurezza, prevenzione frodi | Legittimo interesse (Art. 6(1)(f)) |
| Cronologia accessi | Sicurezza account | Legittimo interesse |
| Dati di fatturazione | Emissione fatture, pagamenti | Obbligo legale (Art. 6(1)(c)) |
| Preferenze di notifica | Personalizzazione comunicazioni | Esecuzione contratto |
3.2. Dati dei Clienti Finali (Utenti del Widget Chat)
ShopBrain tratta i seguenti dati per conto del Cliente (store manager), in qualità di Responsabile del trattamento:
| Dato | Finalità | Base Giuridica |
|---|---|---|
| Messaggi chat (testo) | Fornitura del servizio chatbot | Esecuzione contratto con il Cliente |
| Email (se fornita) | Identificazione, continuità conversazione | Legittimo interesse del Cliente |
| Nome e cognome (se forniti) | Personalizzazione interazione | Legittimo interesse del Cliente |
| Telefono (se fornito) | Comunicazioni del Cliente | Legittimo interesse del Cliente |
| ID sessione | Gestione sessione chat | Esecuzione contratto |
| Dati carrello/ordini | Assistenza all'acquisto | Esecuzione contratto |
| Rating e feedback | Miglioramento qualità servizio | Legittimo interesse |
3.3. Dati NON Raccolti
ShopBrain non raccoglie direttamente:
- Dati delle carte di pagamento (gestiti interamente da Stripe)
- Dati biometrici
- Dati sulla salute
- Dati relativi a minori di 18 anni
- Cookie di profilazione o marketing di terze parti
4. Finalità del Trattamento
| Finalità | Base Giuridica | Conservazione |
|---|---|---|
| Registrazione e gestione account | Esecuzione contratto | Durata contratto + 36 mesi |
| Erogazione servizi chatbot AI | Esecuzione contratto | 24 mesi dal termine del contratto |
| Fatturazione e contabilità | Obbligo legale (normativa fiscale) | 10 anni |
| Assistenza clienti | Esecuzione contratto | Durata contratto + 12 mesi |
| Prevenzione frodi e sicurezza | Legittimo interesse | 12 mesi |
| Analisi aggregate e miglioramento | Legittimo interesse | 24 mesi (dati anonimi indefinitamente) |
| Comunicazioni di servizio | Esecuzione contratto | Durata contratto |
| Adempimento obblighi legali | Obbligo legale | Secondo normativa |
5. Destinatari e Trasferimenti di Dati
5.1. Sub-responsabili del Trattamento
| Sub-responsabile | Sede | Dati Trattati | Finalità |
|---|---|---|---|
| OpenRouter | USA | Contenuto conversazioni (transito, zero data retention) | Generazione risposte AI |
| Google AI | USA/UE | Documenti knowledge base | Ricerca semantica (RAG) |
| Stripe | USA | Dati fatturazione | Elaborazione pagamenti |
| Render.com | UE (Francoforte) | Tutti i dati della piattaforma | Hosting infrastruttura |
| Resend | USA | Indirizzi email, contenuto notifiche | Invio email transazionali |
| Telegram | EAU/UK | Messaggi, contatti (se attivato) | Integrazione bot |
| Meta (WhatsApp) | USA | Messaggi, contatti (se attivato) | Integrazione WhatsApp |
5.2. Trasferimenti Extra-UE
I dati personali possono essere trasferiti al di fuori dello Spazio Economico Europeo. I trasferimenti avvengono sulla base di Standard Contractual Clauses (SCCs) e/o certificazione EU-US Data Privacy Framework.
OpenRouter è configurato in modalità Zero Data Retention: i contenuti delle conversazioni transitano per il provider esclusivamente per la generazione della risposta e non vengono conservati. Solo metadati anonimi (conteggio token, latenza) sono raccolti per finalità di monitoraggio.
Il Cliente può richiedere copia delle garanzie adeguate adottate contattando shopbrainsrl@pec.it.
6. Conservazione dei Dati (Retention Policy)
| Categoria di Dati | Periodo di Conservazione |
|---|---|
| Dati account (email, nome, credenziali) | Durata contratto + 36 mesi |
| Conversazioni e messaggi chat | 24 mesi dall'ultimo messaggio |
| Dati della Knowledge Base | Cancellati entro 30 giorni dalla cessazione |
| Log di accesso e sicurezza | 12 mesi |
| Dati di fatturazione | 10 anni (obbligo fiscale) |
| Dati analytics (aggregati) | Conservati in forma anonima |
| Credenziali e-commerce (cifrate) | Cancellate entro 7 giorni dalla disconnessione |
Al termine del periodo di conservazione, i dati sono cancellati definitivamente o resi anonimi in modo irreversibile.
7. Diritti dell'Interessato
Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto di:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei dati
- Rettifica (art. 16): correggere dati inesatti o incompleti
- Cancellazione (art. 17): ottenere la cancellazione dei dati ("diritto all'oblio")
- Limitazione (art. 18): limitare il trattamento in determinati casi
- Portabilità (art. 20): ricevere i dati in formato strutturato e leggibile
- Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse
- Revoca del consenso: revocare il consenso prestato in qualsiasi momento
Le richieste saranno evase entro 30 giorni dalla ricezione. Per esercitare i propri diritti: shopbrainsrl@pec.it.
L'interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali — www.garanteprivacy.it
Per i Clienti Finali: i diritti relativi ai dati trattati nell'ambito del chatbot devono essere esercitati presso il Cliente (store manager), in qualità di Titolare del trattamento.
8. Sicurezza dei Dati
ShopBrain adotta le seguenti misure tecniche e organizzative:
- Cifratura delle credenziali sensibili a riposo (AES-128 tramite Fernet)
- Cifratura dei dati in transito (TLS/HTTPS)
- Hashing delle password con bcrypt (con salt)
- Token di autenticazione JWT con scadenza breve (30 minuti)
- Blacklist dei token invalidati (fail-closed)
- Chiavi API hashate con SHA256
- Isolamento multi-tenant con controlli di accesso per ogni richiesta
- Accesso ai sistemi limitato al personale strettamente necessario
9. Trattamento Dati tramite Intelligenza Artificiale
9.1. ShopBrain utilizza modelli di intelligenza artificiale (LLM) di terze parti. Il contenuto dei messaggi, il contesto della Knowledge Base e la cronologia della conversazione vengono inviati al provider LLM per la generazione della risposta.
9.2. I provider LLM sono configurati in modalità Zero Data Retention e non conservano i dati dopo la generazione della risposta.
Per maggiori informazioni: Condizioni di Utilizzo dell'Intelligenza Artificiale.
10. Cookie
ShopBrain utilizza esclusivamente cookie tecnici e di sessione. Per informazioni dettagliate: Cookie Policy.
11. Modifiche
Il Fornitore si riserva il diritto di aggiornare la presente Informativa. Le modifiche saranno comunicate via email e/o notifica in piattaforma. In caso di modifiche sostanziali relative a nuove finalità di trattamento, il Fornitore acquisirà un nuovo consenso ove necessario.
12. Contatti
Email: admin@growflow.studio
PEC: shopbrainsrl@pec.it
Indirizzo: ShopBrain S.r.l., Via Archimede 7, 71016 San Severo (FG)