Privacy Policy

Ultimo aggiornamento: 26 marzo 2026

⚠️ Questo documento è una bozza generata con assistenza AI. Si raccomanda la revisione da parte di un professionista legale abilitato prima dell'utilizzo in contesto commerciale.

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è CrewBitz di [Nome Fondatore], con sede legale in Italia, P.IVA [da compilare].

Per qualsiasi comunicazione relativa al trattamento dei dati personali è possibile contattare il Titolare all'indirizzo e-mail: [email protected].

2. Responsabile della Protezione dei Dati (DPO)

Alla data di pubblicazione del presente documento, CrewBitz non ha designato un DPO ai sensi dell'art. 37 GDPR, in quanto non ricorre nessuna delle condizioni obbligatorie previste (ente pubblico, trattamento sistematico su larga scala, categorie particolari su larga scala). Il Titolare si riserva di rivalutare tale posizione al crescere delle dimensioni aziendali. Per richieste relative alla protezione dei dati scrivere a [email protected].

3. Dati Raccolti

3.1 Visitatori del Sito

Indirizzo IP (anonimizzato lato server entro 24h)
User-agent del browser
Pagine visitate e timestamp
Cookie tecnici di sessione (vedi Cookie Policy)

3.2 Prospect / Utenti in Free Trial

Nome e cognome
Indirizzo e-mail aziendale
Nome dell'azienda
Paese di residenza / sede aziendale
Log di utilizzo della piattaforma (azioni, timestamp, errori)

3.3 Clienti (abbonati a piani Pro/Business)

Tutti i dati di cui al punto 3.2
Dati di fatturazione: indirizzo di fatturazione, P.IVA/codice fiscale azienda
Dati dei dipendenti/candidati inseriti dal cliente nella piattaforma (in qualità di sub-titolare o responsabile del trattamento separatamente regolato dal DPA)
Comunicazioni con il supporto
Configurazioni degli agenti AI attivati

3.4 Dati non raccolti

CrewBitz non raccoglie categorie particolari di dati ai sensi dell'art. 9 GDPR (salvo che il cliente le inserisca esplicitamente nella piattaforma, nel qual caso si applica il DPA). Non raccoglie dati relativi a minori di 16 anni.

4. Base Giuridica del Trattamento (Art. 6 GDPR)

Finalità	Base giuridica	Riferimento GDPR
Fornitura del servizio (esecuzione contratto)	Esecuzione di un contratto	Art. 6(1)(b)
Fatturazione e adempimenti fiscali	Obbligo legale	Art. 6(1)(c)
Sicurezza della piattaforma, prevenzione frodi	Legittimo interesse	Art. 6(1)(f)
Comunicazioni di servizio (aggiornamenti, downtime)	Legittimo interesse / contratto	Art. 6(1)(b)(f)
Marketing diretto (newsletter, offerte)	Consenso	Art. 6(1)(a)
Miglioramento del prodotto (analytics aggregata)	Legittimo interesse	Art. 6(1)(f)
Adempimento a obblighi di legge (es. richieste autorità)	Obbligo legale	Art. 6(1)(c)

5. Sub-processori e Destinatari

CrewBitz si avvale dei seguenti sub-processori per erogare il servizio. Tutti i trasferimenti extra-UE avvengono tramite Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione 2021/914/UE).

Sub-processore	Paese	Ruolo	Garanzie trasferimento
Contabo GmbH	Germania (UE)	Hosting infrastruttura / server dedicati	Territorio UE — nessun trasferimento
DeepInfra Inc.	USA	Inferenza modelli AI (Kimi K2.5, Llama)	SCC (Decisione 2021/914/UE)
Anthropic PBC	USA	Inferenza modello Claude Sonnet	SCC (Decisione 2021/914/UE)
Cloudflare Inc.	USA (edge EU)	CDN, protezione DDoS, WAF	SCC + binding corporate rules
Zoho Corporation	India / server UE	CRM, ticketing supporto clienti	Server in UE + SCC per trasferimenti residui

Il Titolare garantisce che ogni sub-processore sia vincolato da obblighi di protezione dei dati equivalenti a quelli imposti al Titolare dal GDPR, ai sensi dell'art. 28(4) GDPR.

6. Trasferimenti Extra-UE

I trasferimenti di dati verso paesi terzi (USA) avvengono esclusivamente sulla base delle Clausole Contrattuali Standard adottate con Decisione della Commissione Europea 2021/914/UE del 4 giugno 2021 (moduli da Responsabile a Responsabile e da Titolare a Responsabile, secondo il caso). Per ciascun trasferimento è stata condotta una valutazione dell'impatto del trasferimento (Transfer Impact Assessment — TIA) che ha concluso che le garanzie adottate sono idonee a tutelare i diritti degli interessati, tenuto conto della natura dei dati trattati (dati professionali, non categorie sensibili) e delle misure tecniche supplementari applicate (cifratura in transito TLS 1.3, cifratura a riposo AES-256).

Gli interessati possono richiedere copia delle SCC in vigore scrivendo a [email protected].

7. Periodi di Conservazione

Categoria di dato	Periodo di conservazione	Motivazione
Dati account (nome, email, azienda)	Durata contratto + 10 anni	Obblighi fiscali e civilistici (art. 2220 c.c.)
Dati di fatturazione	10 anni dalla data documento	Art. 2220 c.c., D.P.R. 633/1972
Log di accesso e sicurezza	12 mesi	Legittimo interesse (sicurezza)
Log di utilizzo della piattaforma	6 mesi	Miglioramento servizio, debug
Comunicazioni con il supporto	3 anni dalla chiusura ticket	Legittimo interesse, gestione controversie
Dati di marketing (con consenso)	Fino a revoca consenso + 12 mesi	Consenso art. 6(1)(a) GDPR
Dati inseriti dal cliente (DPA)	Come da istruzioni del cliente / DPA	Ruolo di Responsabile del trattamento
Prompt e output AI (anonimizzati)	30 giorni (non anonimizzati), poi eliminati o anonimizzati definitivamente	Miglioramento modelli, privacy by design
Dati cookie di sessione	Sessione (scadono alla chiusura browser)	Strettamente necessari

Alla scadenza del periodo di conservazione i dati sono cancellati in modo sicuro o anonimizzati irreversibilmente.

8. Diritti degli Interessati (Artt. 15-22 GDPR)

Gli interessati residenti nello Spazio Economico Europeo hanno i seguenti diritti:

Art. 15 — Accesso: ottenere conferma del trattamento e copia dei dati personali.
Art. 16 — Rettifica: correggere dati inesatti o incompleti.
Art. 17 — Cancellazione ("diritto all'oblio"): richiedere l'eliminazione dei dati, salvo obblighi di conservazione legale.
Art. 18 — Limitazione: richiedere la sospensione del trattamento in casi specifici.
Art. 20 — Portabilità: ricevere i propri dati in formato strutturato e leggibile da macchina.
Art. 21 — Opposizione: opporsi al trattamento basato su legittimo interesse o per finalità di marketing diretto.
Art. 22 — Decisioni automatizzate: non essere sottoposti a decisioni basate esclusivamente su trattamento automatizzato che producano effetti giuridici significativi, salvo eccezioni.

Le richieste devono essere inviate a [email protected]. Il Titolare risponderà entro 30 giorni (prorogabili di ulteriori 60 giorni in casi complessi, con comunicazione motivata). Le richieste sono gratuite; in caso di richieste manifestamente infondate o eccessive, il Titolare può applicare un contributo spese ragionevole (art. 12(5) GDPR).

L'interessato ha il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all'autorità di controllo dello Stato membro UE in cui risiede abitualmente.

9. Intelligenza Artificiale e Decisioni Automatizzate

CrewBitz utilizza modelli di intelligenza artificiale (AI) per l'erogazione del servizio. In particolare, il modulo HR Ployer è classificato come sistema AI ad alto rischio ai sensi dell'Allegato III, punto 4(a) del Regolamento UE 2024/1689 (AI Act) in quanto può supportare decisioni in materia di selezione del personale e valutazione dei candidati.

Conformemente all'art. 22 GDPR e agli artt. 13 e 14 dell'AI Act:

Nessuna decisione vincolante relativa a persone fisiche è adottata esclusivamente in modo automatizzato senza supervisione umana qualificata.
Gli interessati hanno il diritto di richiedere spiegazioni sulle elaborazioni che li riguardano e di richiedere l'intervento umano.
I modelli AI non sono addestrati sui dati dei clienti senza consenso esplicito.

Per maggiori dettagli si rimanda alla AI Disclosure.

10. Misure di Sicurezza

CrewBitz adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui:

Cifratura in transito: TLS 1.3 su tutte le connessioni
Cifratura a riposo: AES-256 per dati sensibili su database
Controllo degli accessi basato su ruoli (RBAC) e autenticazione a due fattori (2FA) per il personale interno
Backup cifrati con verifica periodica dell'integrità
Monitoraggio continuo e alerting su anomalie di sicurezza
Penetration test periodici da parte di terzi
Politica di gestione delle vulnerabilità e patch management

In caso di violazione dei dati personali (data breach), il Titolare notificherà l'Autorità Garante entro 72 ore dalla scoperta (art. 33 GDPR) e, ove il rischio sia elevato, informerà gli interessati senza ingiustificato ritardo (art. 34 GDPR).

11. Modifiche alla Privacy Policy

Il Titolare si riserva il diritto di aggiornare la presente Privacy Policy in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con aggiornamento della data in alto. In caso di modifiche sostanziali che impattino i diritti degli interessati, verrà inviata comunicazione via e-mail agli utenti registrati con almeno 30 giorni di preavviso. Si invita a consultare periodicamente questa pagina.