Informativa sul trattamento dei dati personali
Come Avora raccoglie, utilizza e protegge i dati personali di chi visita il sito e utilizza la piattaforma. Documento redatto ai sensi del Regolamento (UE) 2016/679.
Utilizziamo esclusivamente cookie tecnici necessari al funzionamento del servizio.
Nessuna profilazione e nessuna pubblicita comportamentale.
Non vendiamo i tuoi dati e non li cediamo a terzi per finalita di marketing.
La presente informativa descrive come Guglielmo Scandurra, titolare del trattamento, raccoglie, utilizza e protegge i dati personali degli utenti che accedono alla piattaforma Avora (di seguito "la Piattaforma"), disponibile all'indirizzo https://avora.it. La Piattaforma e un servizio SaaS rivolto sia a utenti finali (B2C) sia a clienti business (B2B).
01 Titolare del trattamento
Il titolare del trattamento e Guglielmo Scandurra, ditta individuale in regime forfettario con sede a Catania. Per qualsiasi richiesta relativa al trattamento dei dati personali l'utente puo contattare il Titolare agli indirizzi indicati di seguito.
Il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO), non sussistendone l'obbligo ai sensi dell'art. 37 GDPR in ragione della natura e delle dimensioni del trattamento.
02 Dati personali raccolti
La Piattaforma raccoglie le seguenti categorie di dati personali, limitatamente a quanto necessario per erogare il servizio.
Dati forniti direttamente dall'utente in fase di registrazione
- Nome e cognome
- Indirizzo email
- Numero di telefono
- Dati di fatturazione (per clienti business: ragione sociale, P.IVA, indirizzo)
Dati raccolti automaticamente durante l'utilizzo della Piattaforma
- Indirizzo IP e dati di connessione (log del server)
- Identificativi di sessione (token di autenticazione)
- Dati relativi all'utilizzo delle funzionalita della Piattaforma
- Timestamp di accesso e attivita
Dati relativi ai pagamenti
- Dati della carta di credito/debito e dati di pagamento (trattati direttamente da Stripe: il Titolare non ha accesso ai dati completi della carta)
- Storico delle transazioni e degli abbonamenti
Dati relativi alle comunicazioni tramite WhatsApp
- Numero WhatsApp e contenuto dei messaggi scambiati tramite il canale WhatsApp
Contenuti elaborati tramite intelligenza artificiale
- Testi, richieste e contenuti inseriti dall'utente che vengono processati dall'API di Anthropic (Claude AI) per fornire le funzionalita della Piattaforma
03 Finalita del trattamento e basi giuridiche
a) Erogazione del servizio
Base giuridica: esecuzione del contratto, art. 6.1.b GDPR.
- Creazione e gestione dell'account utente
- Autenticazione e sicurezza dell'accesso
- Erogazione delle funzionalita della Piattaforma (generazione e gestione dei siti dei clienti, strumenti di intelligenza artificiale)
- Gestione degli abbonamenti e dei pagamenti
- Comunicazioni di servizio (notifiche tecniche, aggiornamenti, fatture)
b) Adempimento di obblighi legali
Base giuridica: obbligo legale, art. 6.1.c GDPR.
- Conservazione dei dati fiscali e contabili
- Adempimenti antiriciclaggio e fiscali
- Risposta a richieste di autorita competenti
c) Legittimo interesse del Titolare
Base giuridica: legittimo interesse, art. 6.1.f GDPR.
- Sicurezza della Piattaforma e prevenzione delle frodi
- Log e monitoraggio del sistema per la stabilita del servizio
- Gestione del supporto tecnico
L'interessato puo opporsi ai trattamenti fondati sul legittimo interesse e richiedere informazioni sul relativo bilanciamento di interessi (art. 21 GDPR).
d) Consenso dell'utente
Base giuridica: consenso, art. 6.1.a GDPR.
- Invio di comunicazioni promozionali o newsletter (solo previo consenso esplicito)
- Utilizzo di cookie non tecnici (qualora presenti in futuro)
04 Responsabili del trattamento e terze parti
Il Titolare si avvale dei seguenti fornitori di servizi terzi, nominati Responsabili del Trattamento ai sensi dell'art. 28 GDPR, oppure operanti come titolari autonomi. I trasferimenti fuori dall'Unione Europea avvengono con Clausole Contrattuali Standard (SCC).
Fornisce il database e il sistema di autenticazione degli utenti. I dati includono credenziali di accesso, profilo utente e dati applicativi. Il Titolare ha selezionato la region europea (EU West) per la conservazione dei dati.
Privacy policy ↗Gestisce i pagamenti, gli abbonamenti e le transazioni finanziarie. I dati di pagamento (numero carta, dati bancari) sono trattati direttamente da Stripe, che opera come titolare autonomo per le finalita di elaborazione dei pagamenti, antifrode e compliance; per i trattamenti effettuati su istruzione del Titolare, Stripe puo agire quale responsabile ai sensi del proprio accordo sul trattamento dei dati. Il Titolare riceve solo dati di conferma della transazione. Stripe puo trasferire dati negli USA sulla base delle Standard Contractual Clauses (SCC).
Privacy policy ↗Fornisce le API di Claude AI utilizzate per l'elaborazione di testi, la generazione di contenuti e le funzionalita di intelligenza artificiale della Piattaforma. I contenuti inseriti dagli utenti possono essere trasmessi alle API di Anthropic per l'elaborazione. Secondo i Termini API di Anthropic vigenti, gli input e gli output delle API commerciali non vengono utilizzati per addestrare i modelli, salve le eccezioni ivi previste; fa fede la documentazione ufficiale di Anthropic pro tempore vigente. Il trasferimento avviene negli USA sulla base delle Standard Contractual Clauses (SCC).
Privacy policy ↗Tratta il numero di telefono e il contenuto dei messaggi scambiati tramite il canale WhatsApp per le comunicazioni con utenti e clienti. Il trasferimento dei dati verso gli USA avviene sulla base delle Standard Contractual Clauses (SCC).
Privacy policy ↗Fornisce l'infrastruttura di hosting per il backend della Piattaforma (server Node.js). I server sono ubicati negli Stati Uniti. Il trasferimento di dati verso gli USA avviene sulla base delle Standard Contractual Clauses (SCC) ai sensi dell'art. 46 GDPR.
Privacy policy ↗Utilizzato per il deploy e la distribuzione dei siti. Cloudflare puo registrare indirizzi IP e dati di connessione degli utenti finali per finalita di sicurezza e ottimizzazione. I log sono conservati per un periodo limitato secondo le policy di Cloudflare.
Privacy policy ↗Invia il codice di verifica via SMS in fase di registrazione o verifica dell'utenza. Tratta il numero di telefono e i metadati di consegna. Twilio ha sede negli Stati Uniti e puo trasferire dati sulla base delle Standard Contractual Clauses (SCC).
Privacy policy ↗Recapita le notifiche push all'app mobile. Tratta un token push del dispositivo e identificatori tecnici (modello dispositivo, versione del sistema operativo, versione app) necessari all'invio. Google ha sede negli Stati Uniti e puo trasferire dati sulla base delle SCC.
Privacy policy ↗Raccoglie report di errore tecnici per diagnosticare i malfunzionamenti della Piattaforma (web e backend). I dati personali sono minimizzati (PII scrubbing attivo). Sentry ha sede negli Stati Uniti e puo trasferire dati sulla base delle SCC.
Privacy policy ↗Gestisce l'invio delle email transazionali (conferme, comunicazioni di servizio). Viene trattato l'indirizzo email dell'utente. Il trasferimento avviene negli USA sulla base delle Standard Contractual Clauses (SCC).
Privacy policy ↗05 Trasferimento di dati verso paesi terzi
Alcuni fornitori di servizi di cui si avvale la Piattaforma (Railway, Anthropic, Stripe, Google/Firebase, Twilio, Resend, Sentry, Cloudflare, Meta/WhatsApp) hanno sede negli Stati Uniti d'America. Supabase conserva i dati nella region europea (EU West), pur essendo una societa con sede negli USA. Il trasferimento dei dati personali verso paesi terzi avviene nel rispetto delle garanzie previste dal GDPR, in particolare:
- Standard Contractual Clauses (SCC) approvate dalla Commissione Europea ai sensi dell'art. 46, par. 2, lett. c) GDPR
- Eventuali decisioni di adeguatezza della Commissione Europea, ove applicabili
L'utente puo richiedere al Titolare copia delle garanzie adottate contattando l'indirizzo email indicato all'art. 1.
07 Periodo di conservazione dei dati
- Dati dell'account utente — conservati per tutta la durata del rapporto contrattuale e cancellati entro 30 giorni dalla cessazione del servizio, fatti salvi i dati fiscali e di fatturazione soggetti alla conservazione decennale indicata di seguito.
- Dati di pagamento e fatturazione — conservati per 10 anni dalla data della transazione ai sensi della normativa fiscale italiana.
- Log di sistema — conservati per un massimo di 12 mesi dalla registrazione.
- Contenuti elaborati tramite AI — non conservati permanentemente dal Titolare al di la di quanto necessario per l'erogazione del servizio in sessione. Fare riferimento alla policy di Anthropic per i tempi di conservazione lato API.
- Messaggi WhatsApp — conservati per il tempo necessario all'erogazione del servizio di comunicazione.
- Consenso alla privacy — il timestamp del consenso prestato al momento della registrazione e conservato per tutta la durata del rapporto e per i 5 anni successivi, ai fini di accountability.
08 Diritti dell'interessato
Ai sensi degli articoli 15–22 del GDPR, l'utente ha il diritto di:
Ottenere conferma che sia in corso un trattamento e ricevere copia dei dati personali trattati.
Richiedere la correzione di dati inesatti o l'integrazione di dati incompleti.
Richiedere la cancellazione dei propri dati ("diritto all'oblio"), salvo obblighi legali di conservazione.
Richiedere la limitazione del trattamento in determinati casi previsti dalla norma.
Ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico.
Opporsi al trattamento dei propri dati basato sul legittimo interesse del Titolare.
Revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceita del trattamento precedente.
Proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
La Piattaforma non adotta decisioni automatizzate, inclusa la profilazione, che producano effetti giuridici o significativi sull'utente ai sensi dell'art. 22 GDPR.
Per esercitare i propri diritti, l'utente puo inviare una richiesta scritta all'indirizzo email del Titolare indicato all'art. 1. L'esercizio dei diritti e gratuito, salvo richieste manifestamente infondate o eccessive (art. 12 GDPR). Il Titolare rispondera entro 30 giorni dalla ricezione della richiesta (termine estendibile a 90 giorni in casi di particolare complessita).
La cancellazione dell'account comporta la cancellazione dei dati dell'utente dalla Piattaforma, fatti salvi i dati che devono essere conservati per obbligo di legge (es. dati fiscali e di fatturazione, conservati per 10 anni).
Per avviare la procedura di eliminazione dell'account e dei dati associati, dall'app o dal web, consulta la pagina dedicata: avora.it/elimina-account.
09 Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione accidentale, tra cui:
- Cifratura delle comunicazioni tramite protocollo HTTPS/TLS
- Hashing delle password tramite i sistemi di Supabase Auth (bcrypt)
- Accesso ai dati limitato al solo personale autorizzato
- Autenticazione basata su token JWT con scadenza automatica
- Backup regolari gestiti dall'infrastruttura Supabase
- Separazione degli ambienti di sviluppo e produzione
In caso di violazione dei dati personali (data breach), il Titolare notifichera la violazione al Garante per la Protezione dei Dati Personali senza ingiustificato ritardo e, ove possibile, entro 72 ore (art. 33 GDPR). Qualora la violazione comporti un rischio elevato per i diritti degli interessati, il Titolare la comunichera anche agli interessati senza ingiustificato ritardo (art. 34 GDPR).
10 Minori
La Piattaforma non e destinata a persone di eta inferiore a 18 anni. Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora venisse a conoscenza di aver ricevuto dati da un minore senza il consenso del genitore o tutore, procedera alla cancellazione di tali dati nel piu breve tempo possibile.
11 Modifiche alla presente informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, in particolare in caso di variazioni normative o di aggiornamenti ai servizi offerti. Le modifiche saranno comunicate agli utenti registrati tramite email e/o tramite avviso nella Piattaforma con almeno 15 giorni di anticipo rispetto all'entrata in vigore.
La versione aggiornata sara sempre disponibile all'indirizzo https://avora.it/privacy con indicazione della data di ultima modifica. L'utilizzo continuato della Piattaforma dopo la data di entrata in vigore delle modifiche costituisce accettazione della nuova informativa.
12 Contatti e reclami
Per esercitare i propri diritti o per qualsiasi richiesta relativa alla privacy, l'utente puo contattare il Titolare ai recapiti seguenti, indicando come oggetto "Richiesta Privacy" e il tipo di richiesta. Il tempo di risposta e di norma entro 30 giorni dalla ricezione.
L'utente ha inoltre il diritto di presentare reclamo all'Autorita di controllo competente:
Informativa redatta ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018. Versione 2.0 · 07/06/2026.