Privacy Policy
Ultimo aggiornamento: 28 marzo 2026
La presente Informativa sulla privacy (“Privacy Policy”) descrive come CrewBitz Srl raccoglie, utilizza, conserva e protegge i dati personali ai sensi del Regolamento (UE) 2016/679 (“GDPR”) e della normativa italiana applicabile.
1. Titolare del trattamento
CrewBitz Srl (“CrewBitz”, “noi”, “nostro”) è il Titolare del trattamento dei dati personali raccolti tramite il sito web crewbitz.com e i servizi ad esso collegati.
2. Responsabile della Protezione dei Dati (DPO)
Alla data di pubblicazione della presente informativa, non è stato designato un Responsabile della Protezione dei Dati (DPO) ai sensi dell’Art. 37 del GDPR, in quanto non ricorrono le condizioni obbligatorie previste dalla normativa.
Il Titolare si riserva di rivalutare periodicamente la necessità di designare un DPO in relazione all’evoluzione delle attività di trattamento.
Per qualsiasi richiesta relativa al trattamento dei dati personali, è possibile contattare il Titolare all’indirizzo: [email protected]
3. Dati raccolti e finalità
3.1 Visitatori del sito web
Per i visitatori del sito crewbitz.com, raccogliamo esclusivamente:
- Cookie tecnici di sessione: necessari al funzionamento del sito, senza finalità di profilazione.
Non utilizziamo cookie di tracciamento, né strumenti di analytics di terze parti. Non viene effettuata alcuna attività di profilazione sui visitatori del sito.
3.2 Clienti (aziende)
Per i Clienti che sottoscrivono il servizio CrewBitz, raccogliamo e trattiamo:
- Dati di registrazione: nome e cognome del referente, indirizzo email aziendale, ragione sociale, settore di attività, dimensione aziendale.
- Dati di utilizzo del servizio: azioni eseguite dai Ployer, log di sistema, dati di performance e metriche di utilizzo.
- Dati di fatturazione: dati necessari alla fatturazione e al pagamento, gestiti tramite Stripe quando attivo come processore di pagamento.
3.3 Prospect B2B
Per i prospect aziendali, possiamo raccogliere e trattare:
- Dati aziendali pubblici: ragione sociale, settore, dimensione, informazioni pubblicamente disponibili.
- Email aziendale: indirizzo email aziendale utilizzato per comunicazioni commerciali di carattere B2B.
4. Base giuridica (Art. 6 GDPR)
Il trattamento dei dati personali si fonda sulle seguenti basi giuridiche:
| Categoria | Base giuridica | Riferimento |
|---|---|---|
| Clienti — erogazione del servizio | Esecuzione del contratto | Art. 6(1)(b) GDPR |
| Clienti — obblighi fiscali e contabili | Obbligo legale | Art. 6(1)(c) GDPR |
| Prospect B2B — comunicazioni commerciali | Interesse legittimo | Art. 6(1)(f) GDPR |
| Newsletter | Consenso esplicito | Art. 6(1)(a) GDPR |
| HR Ployer — dati sanitari e categorie particolari | Obbligo in materia di diritto del lavoro | Art. 9(2)(b) GDPR |
Per il trattamento basato sul consenso (Art. 6(1)(a)), l’interessato ha il diritto di revocare il consenso in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento effettuato prima della revoca.
Per il trattamento basato sull’interesse legittimo (Art. 6(1)(f)), l’interesse legittimo del Titolare consiste nella promozione dei propri servizi B2B verso aziende potenzialmente interessate. L’interessato ha sempre il diritto di opporsi a tale trattamento.
5. Destinatari e sub-processori
I dati personali possono essere comunicati ai seguenti destinatari, ciascuno in qualità di sub-processore ai sensi dell’Art. 28 GDPR:
| Sub-processore | Servizio | Localizzazione | Garanzie |
|---|---|---|---|
| Contabo | Hosting server (VPS) | Germania (UE) | GDPR nativo — trattamento intra-UE |
| DeepInfra | Inference LLM (AI) | USA | Standard Contractual Clauses (SCC) |
| Anthropic | Inference LLM (AI) | USA | Standard Contractual Clauses (SCC) |
| Cloudflare | CDN, SSL, protezione DDoS | USA | Standard Contractual Clauses (SCC) |
| Zoho | Email transazionale | India/UE (server EU) | Server in UE |
I dati personali non vengono venduti, ceduti o comunicati a terzi per finalità di marketing di terzi.
6. Trasferimenti extra-UE
Alcuni sub-processori hanno sede negli Stati Uniti d’America. I trasferimenti di dati personali verso tali soggetti avvengono nel rispetto delle seguenti garanzie:
- Standard Contractual Clauses (SCC): clausole contrattuali tipo adottate dalla Commissione Europea (Decisione di esecuzione 2021/914), stipulate con ciascun sub-processore extra-UE.
- EU-US Data Privacy Framework: ove applicabile, i sub-processori statunitensi aderiscono al programma EU-US Data Privacy Framework, che fornisce un livello adeguato di protezione riconosciuto dalla Commissione Europea.
Il Titolare effettua una valutazione d’impatto del trasferimento (Transfer Impact Assessment) per ciascun sub-processore extra-UE e adotta le misure supplementari necessarie a garantire un livello di protezione sostanzialmente equivalente a quello garantito dal GDPR.
7. Conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono raccolti, nel rispetto dei seguenti criteri:
| Categoria di dati | Periodo di conservazione |
|---|---|
| Clienti attivi | Per tutta la durata del contratto di servizio |
| Clienti cessati | 10 anni dalla cessazione (obblighi fiscali) |
| Prospect B2B (inattivi) | 180 giorni di inattività, poi anonimizzazione |
| Prospect B2B (mai contattati) | 90 giorni, poi cancellazione |
| Log Ployer | 6 mesi, poi anonimizzazione |
| Ticket di supporto | 1 anno, poi anonimizzazione |
| Dati candidati (HR Ployer) | 24 mesi |
| Lista Do Not Contact | Conservazione a tempo indefinito |
Decorsi i termini di conservazione, i dati vengono cancellati in modo definitivo o anonimizzati in modo irreversibile, come indicato nella tabella sopra.
8. Diritti degli interessati (Art. 15-22 GDPR)
In qualità di interessato, Lei ha il diritto di:
- Accesso (Art. 15): ottenere conferma dell’esistenza di un trattamento e accedere ai propri dati personali.
- Rettifica (Art. 16): ottenere la correzione dei dati personali inesatti o l’integrazione dei dati incompleti.
- Cancellazione (Art. 17): ottenere la cancellazione dei propri dati personali, nei casi previsti dalla normativa.
- Limitazione del trattamento (Art. 18): ottenere la limitazione del trattamento nei casi previsti dalla normativa.
- Portabilità (Art. 20): ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare.
- Opposizione (Art. 21): opporsi al trattamento dei propri dati personali, in particolare al trattamento per finalità di marketing diretto.
- Non essere sottoposto a decisioni automatizzate (Art. 22): non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o incida significativamente sulla persona.
Come esercitare i diritti
Per esercitare i propri diritti, l’interessato può inviare una richiesta scritta all’indirizzo email: [email protected]
Il Titolare riscontrerà la richiesta entro 30 giorni dal ricevimento. Tale termine può essere esteso di ulteriori 60 giorni in caso di richieste particolarmente complesse o numerose, previa comunicazione all’interessato.
Reclamo all’autorità di controllo
L’interessato ha il diritto di proporre reclamo all’autorità di controllo competente. In Italia, l’autorità di controllo è il Garante per la protezione dei dati personali: www.garanteprivacy.it
9. Intelligenza Artificiale
CrewBitz utilizza tecnologie di intelligenza artificiale (AI) come componente fondamentale del proprio servizio. I Ployer sono agenti AI progettati per automatizzare task aziendali sotto la supervisione del Cliente.
In relazione all’uso dell’AI, il Titolare informa che:
- Supervisione umana: ogni Ployer opera sotto la supervisione del Cliente. Le azioni significative richiedono l’approvazione umana prima dell’esecuzione.
- HR Ployer e AI Act: il Ployer dedicato alla gestione delle risorse umane (HR Ployer) è classificato come sistema di AI ad alto rischio ai sensi del Regolamento (UE) sull’Intelligenza Artificiale (AI Act). CrewBitz adotta le misure previste dalla normativa, inclusa la supervisione umana obbligatoria per le decisioni che riguardano le persone fisiche.
- Nessuna decisione automatizzata: le decisioni significative che producono effetti giuridici o incidono in modo analogo sulle persone fisiche richiedono sempre l’approvazione umana da parte del Cliente.
- Trasparenza: CrewBitz si impegna a informare i Clienti e gli interessati sull’uso di tecnologie AI nel trattamento dei dati personali, in conformità con gli obblighi di trasparenza previsti dal GDPR e dall’AI Act.
10. Sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, tra cui:
- Cifratura in transito: tutte le comunicazioni avvengono tramite protocollo TLS 1.2 o superiore.
- Server in UE: i dati sono ospitati su server Contabo situati in Germania (Unione Europea).
- Isolamento dati: Row-Level Security (RLS) su PostgreSQL per garantire l’isolamento dei dati tra tenant diversi.
- Backup crittografati: backup giornalieri automatici con cifratura GPG AES-256.
- Principio del minimo privilegio: l’accesso ai dati è limitato al personale strettamente necessario e con i permessi minimi richiesti.
- Monitoring continuo: monitoraggio attivo dei sistemi per rilevare anomalie e potenziali violazioni.
11. Modifiche alla presente Policy
Il Titolare si riserva il diritto di modificare la presente Privacy Policy in qualsiasi momento. Le modifiche saranno effettive dalla data di pubblicazione della versione aggiornata sul sito web.
In caso di modifiche sostanziali che incidano significativamente sul trattamento dei dati personali, il Titolare ne darà comunicazione ai Clienti tramite email con ragionevole anticipo.
Le versioni precedenti della presente Policy sono archiviate e disponibili su richiesta.
Contatto per questioni relative alla privacy: [email protected]