Informativa sulla Privacy
Ultimo aggiornamento: 9 febbraio 2026
Indice
- Chi siamo e come contattarci
- Quali dati raccogliamo
- Perché trattiamo i tuoi dati
- Con chi condividiamo i tuoi dati
- Trasferimenti fuori dall'UE
- Per quanto tempo conserviamo i tuoi dati
- I tuoi diritti
- Cookie e tecnologie simili
- Sicurezza dei dati
- Decisioni automatizzate
- Modifiche a questa informativa
- Contatti e reclami
1. Chi siamo e come contattarci
Questa sezione ti dice chi è responsabile dei tuoi dati e come raggiungerci.
Il Titolare del trattamento (cioè il soggetto che decide come e perché vengono usati i tuoi dati personali) è:
GpStudios S.R.L.
- Sede legale: Via del Cavone, 7 – 47121 Forlì (FC), Italia
- Partita IVA: 04387250402
- Email: info@gpstudios.it
- Telefono: 0543 84099
- Sito web: gpstudios.it
Per qualsiasi domanda relativa al trattamento dei tuoi dati personali, puoi scriverci all'indirizzo info@gpstudios.it o telefonare al 0543 84099.
2. Quali dati raccogliamo
Questa sezione elenca le categorie di informazioni che trattiamo quando utilizzi Bubble AI.
2.1 Dati che ci fornisci direttamente
| Categoria | Esempi | Quando li raccogliamo |
|---|---|---|
| Dati identificativi | Nome, cognome, email, numero di telefono | Registrazione account |
| Dati aziendali | Nome attività, P.IVA, indirizzo sede, settore | Creazione profilo business |
| Credenziali | Password (criptata), token di sessione | Login e autenticazione |
| Dati di pagamento | Tipo carta (ultime 4 cifre), intestatario | Acquisto abbonamento |
| Contenuti caricati | Ricette, foto, documenti (DDT, fatture), ingredienti, listini | Utilizzo del servizio |
2.2 Dati che raccogliamo automaticamente
| Categoria | Esempi | Finalità |
|---|---|---|
| Dati tecnici | Indirizzo IP, tipo di browser, sistema operativo, device ID | Funzionamento del servizio e sicurezza |
| Dati di utilizzo | Pagine visitate, funzionalità usate, timestamp, durata sessione | Miglioramento del servizio |
| Log di sistema | Errori, richieste API, eventi di sicurezza | Diagnosi e prevenzione abusi |
2.3 Dati generati dall'AI
Quando utilizzi la chat AI o la funzione Vision OCR, il sistema elabora:
- Le tue domande e richieste in linguaggio naturale
- Le immagini che carichi per il riconoscimento
- I risultati generati dall'intelligenza artificiale
Questi dati vengono utilizzati esclusivamente per fornirti il servizio richiesto.
2.4 Dati che non raccogliamo
Non raccogliamo intenzionalmente:
- Dati relativi alla salute
- Dati biometrici
- Dati che rivelino origine etnica, opinioni politiche, convinzioni religiose
- Dati relativi a condanne penali
3. Perché trattiamo i tuoi dati
Questa sezione spiega le finalità del trattamento e la base giuridica che ci autorizza a trattare i tuoi dati.
| Finalità | Base giuridica | Dati utilizzati |
|---|---|---|
| Fornitura del servizio | Esecuzione del contratto (art. 6.1.b GDPR) | Dati identificativi, aziendali, contenuti caricati |
| Gestione account e autenticazione | Esecuzione del contratto | Credenziali, dati identificativi |
| Elaborazione pagamenti | Esecuzione del contratto | Dati di pagamento |
| Assistenza clienti | Esecuzione del contratto | Dati identificativi, dati tecnici, storico richieste |
| Comunicazioni di servizio | Esecuzione del contratto | Email, nome |
| Sicurezza e prevenzione frodi | Legittimo interesse (art. 6.1.f GDPR) | Dati tecnici, log di sistema |
| Miglioramento del servizio | Legittimo interesse | Dati di utilizzo aggregati |
| Adempimenti fiscali e legali | Obbligo di legge (art. 6.1.c GDPR) | Dati di fatturazione |
| Marketing diretto | Consenso (art. 6.1.a GDPR) | Email, preferenze |
3.1 Nota sul legittimo interesse
Quando basiamo il trattamento sul legittimo interesse, abbiamo effettuato un bilanciamento per assicurarci che i tuoi diritti e libertà non prevalgano sui nostri interessi. Puoi richiedere maggiori informazioni su questa valutazione contattandoci.
3.2 Consenso
Quando il trattamento si basa sul consenso, puoi revocarlo in qualsiasi momento:
- Dalle impostazioni del tuo account
- Inviando email a info@gpstudios.it
- Cliccando sul link "annulla iscrizione" nelle email promozionali
La revoca del consenso non pregiudica la liceità del trattamento effettuato prima della revoca.
4. Con chi condividiamo i tuoi dati
Questa sezione indica chi può accedere ai tuoi dati oltre a noi.
Condividiamo i tuoi dati personali solo quando necessario per fornirti il servizio o quando richiesto dalla legge. Ecco le categorie di destinatari:
4.1 Fornitori di servizi (Responsabili del trattamento)
| Fornitore | Servizio | Dati condivisi | Sede |
|---|---|---|---|
| Supabase | Database e autenticazione | Tutti i dati dell'account | UE (Germania) |
| Stripe | Pagamenti | Dati di pagamento | USA (con SCC) |
| OpenAI | Servizi AI (chat, vision) | Contenuti delle richieste AI | USA (con SCC) |
| Vercel | Hosting applicazione | Dati tecnici | USA (con SCC) |
Tutti i nostri fornitori sono vincolati da accordi di trattamento dati (DPA) conformi all'art. 28 del GDPR.
4.2 Altri destinatari
- Autorità pubbliche: quando richiesto da obblighi di legge o provvedimenti dell'autorità giudiziaria
- Consulenti professionali: commercialisti e legali, limitatamente a quanto necessario per i rispettivi incarichi
4.3 Cosa non facciamo
- Non vendiamo i tuoi dati personali a terzi
- Non condividiamo dati con terzi per loro finalità di marketing
- Non creiamo profili per pubblicità comportamentale
5. Trasferimenti fuori dall'UE
Questa sezione spiega cosa succede quando i tuoi dati vengono trattati fuori dallo Spazio Economico Europeo.
Alcuni dei nostri fornitori di servizi hanno sede negli Stati Uniti. Per garantire la protezione dei tuoi dati, questi trasferimenti avvengono sulla base di:
- Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea
- Misure supplementari come crittografia end-to-end e pseudonimizzazione, ove applicabili
Puoi richiedere copia delle garanzie adottate scrivendo a info@gpstudios.it.
6. Per quanto tempo conserviamo i tuoi dati
Questa sezione indica per quanto tempo manteniamo le tue informazioni. In breve: i tuoi contenuti operativi vengono cancellati entro 90 giorni dalla cessazione dell'account; conserviamo più a lungo solo ciò che la legge ci impone.
6.1 Dati conservati durante il rapporto contrattuale
Finché il tuo abbonamento è attivo, tutti i dati che inserisci in Bubble AI sono conservati per fornirti il servizio. La base giuridica è l'esecuzione del contratto (art. 6.1.b GDPR).
6.2 Dati conservati dopo la cessazione dell'account
Quando il tuo abbonamento termina — per mancato rinnovo, disdetta o qualsiasi altra causa — i diversi tipi di dati seguono tempistiche di conservazione differenti, in base alla finalità e alla base giuridica residua.
Contenuti operativi — cancellazione entro 90 giorni
Tutti i contenuti che hai inserito per utilizzare il servizio vengono cancellati definitivamente dai sistemi attivi entro 90 giorni dalla cessazione dell'account. Questo include:
- Ricette (composizione, procedimenti, foto associate)
- Ingredienti (schede, prezzi, fornitori, scarti)
- Listini e tariffe
- Personale e attrezzature associati alle ricette
- Dati di vendita e scarti giornalieri
- Foto e documenti caricati (ricette scritte a mano, DDT scansionati tramite OCR)
- Storico chat AI (domande, risposte, risultati di elaborazione)
- Calcoli di food cost e marginalità
- Impostazioni e preferenze del tuo profilo business
- Fatture e DDT da te caricati tramite OCR
Questi dati hanno come base giuridica l'esecuzione del contratto. Cessato il contratto, non esiste più una base giuridica per conservarli. Il periodo di 90 giorni ti consente di scaricare i tuoi dati (diritto alla portabilità, art. 20 GDPR) o di riattivare l'account senza perdere il lavoro svolto.
Dati conservati per obbligo di legge
| Tipo di dati | Periodo di conservazione | Base giuridica |
|---|---|---|
| Dati di fatturazione (fatture emesse da noi verso di te) | 10 anni dalla data della fattura | Obbligo legale — art. 2220 c.c. e normativa fiscale (DPR 600/1973, DPR 633/1972) |
| Dati anagrafici minimi collegati alle fatture (nome, P.IVA, indirizzo sede) | 10 anni | Obbligo legale — necessari per la validità della documentazione fiscale |
Altri dati
| Tipo di dati | Periodo di conservazione | Motivazione |
|---|---|---|
| Credenziali di accesso | Cancellazione immediata alla cessazione | Nessuna base giuridica residua |
| Email e telefono | Fino a 90 giorni dopo cessazione | Comunicazioni relative alla chiusura account e portabilità dati |
| Log di sicurezza | 6 mesi dalla registrazione del log | Prevenzione e indagine incidenti di sicurezza |
| Dati di utilizzo | 24 mesi, poi anonimizzati | Miglioramento del servizio (in forma aggregata e anonima, i dati non sono più personali) |
| Backup | 90 giorni (rolling) | Disaster recovery — i backup più vecchi di 90 giorni vengono sovrascritti automaticamente |
6.3 Cosa succede quando il tuo account viene chiuso
Ecco la sequenza completa degli eventi:
- Immediatamente: l'accesso al servizio viene disattivato. Non puoi più effettuare il login.
- Entro 30 giorni: i tuoi dati restano disponibili in sola lettura. Puoi contattarci per richiedere l'esportazione dei tuoi contenuti in formato strutturato (JSON, CSV o Excel), come previsto dal diritto alla portabilità (art. 20 GDPR).
- Dopo 90 giorni: cancellazione definitiva di tutti i contenuti operativi dai sistemi attivi.
- Entro 180 giorni: eliminazione dai backup tramite sovrascrittura del ciclo di rotazione.
- Eccezioni: conserviamo esclusivamente i dati di fatturazione e i dati anagrafici minimi ad essi collegati per il periodo richiesto dalla legge (10 anni).
7. I tuoi diritti
Questa sezione elenca i diritti che il GDPR ti riconosce e come esercitarli.
Ai sensi del Regolamento UE 2016/679, hai i seguenti diritti:
7.1 Diritto di accesso (art. 15)
Puoi chiederci conferma che stiamo trattando i tuoi dati e ottenerne una copia.
7.2 Diritto di rettifica (art. 16)
Puoi chiedere la correzione di dati inesatti o l'integrazione di dati incompleti.
7.3 Diritto alla cancellazione (art. 17)
Puoi chiedere la cancellazione dei tuoi dati quando:
- Non sono più necessari per le finalità per cui sono stati raccolti
- Revochi il consenso e non esiste altra base giuridica
- Ti opponi al trattamento e non esistono motivi legittimi prevalenti
- I dati sono stati trattati illecitamente
Nota: non possiamo cancellare dati che dobbiamo conservare per legge (es. fatture).
7.4 Diritto di limitazione (art. 18)
Puoi chiedere di limitare il trattamento in determinate circostanze, ad esempio mentre verifichi l'esattezza dei dati.
7.5 Diritto alla portabilità (art. 20)
Puoi ricevere i dati che ci hai fornito in un formato strutturato, di uso comune e leggibile da dispositivo automatico (JSON, CSV, Excel). Puoi anche chiederci di trasmetterli direttamente a un altro titolare, ove tecnicamente fattibile.
7.6 Diritto di opposizione (art. 21)
Puoi opporti in qualsiasi momento al trattamento basato sul legittimo interesse. Valuteremo la tua richiesta e interromperemo il trattamento salvo motivi legittimi cogenti.
Per il marketing diretto, l'opposizione è sempre efficace immediatamente.
7.7 Come esercitare i tuoi diritti
Puoi esercitare i tuoi diritti:
- Email: info@gpstudios.it
- Area account: Impostazioni → Privacy → Gestisci i tuoi dati
- Posta: GpStudios S.R.L., Ufficio Privacy, Via del Cavone, 7 – 47121 Forlì (FC)
Risponderemo entro 30 giorni dalla ricezione della richiesta. In casi complessi, potremmo estendere il termine di ulteriori 60 giorni, informandoti.
Le richieste sono gratuite, salvo che siano manifestamente infondate o eccessive.
8. Cookie e tecnologie simili
Questa sezione fornisce informazioni essenziali sui cookie. Per dettagli completi, consulta la nostra Cookie Policy.
8.1 Cosa sono i cookie
I cookie sono piccoli file di testo che i siti web memorizzano sul tuo dispositivo per ricordare le tue preferenze e migliorare la tua esperienza.
8.2 Cookie che utilizziamo
| Tipo | Finalità | Consenso richiesto |
|---|---|---|
| Tecnici | Funzionamento del sito, sicurezza, autenticazione | No (necessari) |
| Analitici | Statistiche aggregate sull'utilizzo | Sì |
| Funzionali | Preferenze utente (es. lingua) | Sì |
8.3 Come gestire i cookie
Puoi gestire le tue preferenze sui cookie:
- Tramite il banner che appare alla prima visita
- Dalle impostazioni del tuo browser
- Dalla sezione "Cookie" nelle impostazioni del tuo account
Per maggiori dettagli, consulta la nostra Cookie Policy.
9. Sicurezza dei dati
Questa sezione descrive le misure che adottiamo per proteggere le tue informazioni. In sintesi: i tuoi dati sono privati, isolati e accessibili solo alla tua attività.
Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati personali, secondo un approccio di sicurezza multi-livello.
9.1 Isolamento dei dati per attività
Ogni attività registrata su Bubble AI opera in un ambiente dati completamente separato. Questo significa che:
- I tuoi dati sono visibili solo alla tua attività — nessun altro utente o attività può accedervi, nemmeno accidentalmente.
- L'isolamento è garantito a livello di database tramite Row Level Security (RLS): ogni richiesta di lettura o scrittura viene automaticamente filtrata in base all'identificativo della tua attività (
business_id). Se un dato non appartiene alla tua attività, il sistema lo esclude prima ancora che la risposta venga generata. - Le politiche di isolamento sono applicate direttamente dal database PostgreSQL, non solo dal codice applicativo. Questo aggiunge un livello di protezione indipendente dal software.
9.2 Autenticazione e controllo degli accessi
- Autenticazione sicura: l'accesso al tuo account è protetto tramite Supabase Auth, con token JWT verificati ad ogni richiesta. Le password sono memorizzate in forma criptata (hash), non in chiaro.
- Ruoli e permessi: ogni utente della tua attività ha un ruolo specifico (amministratore, responsabile, operatore, sola lettura). Le azioni consentite dipendono dal ruolo assegnato, secondo il principio del privilegio minimo — ciascuno accede solo a ciò che è necessario per il proprio lavoro.
- Verifica continua: ad ogni operazione il sistema verifica che l'utente sia attivo, autenticato e autorizzato.
9.3 Crittografia
- Dati in transito: tutte le comunicazioni tra il tuo dispositivo e i nostri server avvengono tramite connessione HTTPS protetta, con protocollo HSTS (HTTP Strict Transport Security) attivo e precaricato. Questo impedisce che i dati possano essere intercettati durante il trasferimento.
- Dati a riposo: i dati memorizzati nel database sono crittografati a livello di infrastruttura, sia dal database PostgreSQL che dalla piattaforma cloud sottostante.
9.4 Protezione contro attacchi e abusi
| Misura | Cosa protegge |
|---|---|
| Protezione SQL injection | Tutte le query al database utilizzano parametri tipizzati e validati — è tecnicamente impossibile iniettare codice malevolo attraverso i campi di input. La validazione avviene sia a livello applicativo che a livello di database. |
| Rate limiting | Il numero di richieste per indirizzo IP è limitato nel tempo. Se vengono rilevati tentativi anomali, il sistema blocca temporaneamente l'accesso per prevenire abusi. |
| Validazione degli input | Ogni dato inserito dall'utente viene verificato e sanificato prima di essere elaborato, impedendo l'invio di contenuti dannosi. |
| Intestazioni di sicurezza | Il servizio utilizza intestazioni HTTP di protezione (Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy) per prevenire attacchi come clickjacking e cross-site scripting. |
| Controllo delle origini (CORS) | Solo le applicazioni autorizzate possono comunicare con i nostri server. Le richieste da origini sconosciute vengono rifiutate. |
9.5 Monitoraggio e audit
- Registrazione degli eventi: ogni richiesta ai nostri server viene registrata con informazioni essenziali (tipo di operazione, esito, durata), senza includere il contenuto dei tuoi dati.
- Eventi di sicurezza: tentativi di accesso non autorizzato, superamento dei limiti di richieste e violazioni delle politiche di origine vengono registrati e monitorati.
- Audit trail: le operazioni critiche relative al tuo account e alla tua sottoscrizione sono tracciate per garantire trasparenza e ricostruibilità.
9.6 Backup e continuità
- Backup regolari: i dati sono sottoposti a backup crittografati con frequenza regolare, con test periodici di ripristino.
- Soft delete: la cancellazione dei dati avviene inizialmente in modo "logico" (i dati vengono contrassegnati come eliminati, non rimossi fisicamente), permettendo il recupero in caso di errore. La cancellazione definitiva avviene secondo i tempi indicati nella Sezione 6.
9.7 Fornitori certificati
Utilizziamo esclusivamente fornitori di infrastruttura con certificazioni di sicurezza riconosciute a livello internazionale (SOC 2, ISO 27001). Per maggiori dettagli sui fornitori, consulta la Sezione 4.
9.8 Notifica di violazioni
In caso di violazione dei dati personali (data breach) che presenti un rischio per i tuoi diritti e libertà, ti informeremo senza ingiustificato ritardo e notificheremo l'evento al Garante per la protezione dei dati personali entro 72 ore dalla scoperta, come previsto dall'art. 33 del GDPR.
10. Decisioni automatizzate
Questa sezione spiega se e come utilizziamo processi decisionali automatizzati.
10.1 Intelligenza artificiale
Il servizio Bubble AI utilizza intelligenza artificiale per:
- Rispondere alle tue domande in linguaggio naturale
- Riconoscere testo da immagini (ricette scritte a mano, DDT)
- Calcolare suggerimenti di food cost e marginalità
Queste funzionalità non producono decisioni con effetti giuridici su di te. L'AI fornisce suggerimenti e strumenti di supporto; le decisioni finali restano sempre tue.
10.2 Nessuna profilazione automatizzata
Non utilizziamo i tuoi dati per:
- Profilazione a fini pubblicitari
- Decisioni automatizzate che producono effetti giuridici o incidono significativamente sulla tua persona
- Credit scoring o valutazioni automatiche
11. Modifiche a questa informativa
Questa sezione spiega come ti comunicheremo eventuali cambiamenti.
Potremmo aggiornare questa informativa per riflettere modifiche al servizio o alla normativa.
- Modifiche sostanziali: ti avviseremo via email almeno 30 giorni prima dell'entrata in vigore
- Modifiche minori: aggiorneremo la data di "Ultimo aggiornamento" in cima al documento
Ti invitiamo a consultare periodicamente questa pagina. La versione più recente è sempre disponibile su bubble.app/legal/privacy-policy.
12. Contatti e reclami
Questa sezione ti dice come contattarci e come presentare reclamo se ritieni che i tuoi diritti siano stati violati.
12.1 Contattaci
Per qualsiasi domanda su questa informativa o sul trattamento dei tuoi dati:
- Email: info@gpstudios.it
- Telefono: 0543 84099
- Posta: GpStudios S.R.L., Ufficio Privacy, Via del Cavone, 7 – 47121 Forlì (FC)
12.2 Reclamo al Garante
Se ritieni che il trattamento dei tuoi dati violi il GDPR, hai il diritto di proporre reclamo all'autorità di controllo competente:
Garante per la protezione dei dati personali
- Sito web: www.garanteprivacy.it
- Email: garante@gpdp.it
- PEC: protocollo@pec.gpdp.it
- Telefono: (+39) 06 696771
- Indirizzo: Piazza Venezia 11, 00187 Roma
Ti invitiamo comunque a contattarci prima di presentare reclamo: faremo del nostro meglio per risolvere qualsiasi problema.
Definizioni
Per facilitare la comprensione di questa informativa, ecco alcune definizioni chiave:
| Termine | Significato |
|---|---|
| Dato personale | Qualsiasi informazione che ti identifica o può identificarti (nome, email, IP, ecc.) |
| Trattamento | Qualsiasi operazione sui dati: raccolta, conservazione, uso, cancellazione, ecc. |
| Titolare del trattamento | Chi decide finalità e mezzi del trattamento (noi) |
| Responsabile del trattamento | Chi tratta i dati per conto del titolare (es. i nostri fornitori) |
| Interessato | La persona a cui si riferiscono i dati (tu) |
| GDPR | Regolamento Generale sulla Protezione dei Dati (UE 2016/679) |
Questa informativa è stata redatta in conformità al Regolamento UE 2016/679 (GDPR) e alla normativa italiana in materia di protezione dei dati personali.
© 2026 GpStudios S.R.L. - Tutti i diritti riservati