Privacy Policy
Ultimo aggiornamento: 6 maggio 2026 · Versione: 1.0
La presente informativa descrive come CreatorHive (di seguito “noi”, “Titolare”) tratta i dati personali degli utenti del servizio SaaS accessibile su creatorhive.app, in conformità al Regolamento (UE) 2016/679 (“GDPR”) e al D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018).
1. Titolare del trattamento
- Ragione sociale: [INSERIRE RAGIONE SOCIALE]
- Sede legale: [INSERIRE SEDE LEGALE]
- P.IVA / C.F.: [INSERIRE P.IVA]
- Email contatto privacy: privacy@creatorhive.app
Non è stato nominato un Data Protection Officer (DPO) formale ai sensi dell’Art. 37 GDPR perché CreatorHive non rientra nei casi di nomina obbligatoria. Il responsabile interno per la protezione dei dati è raggiungibile all’indirizzo email indicato sopra.
2. Tipologie di dati trattati
Trattiamo le seguenti categorie di dati personali:
- Dati identificativi e di contatto: username, email, eventualmente nome, cognome, data di nascita, indirizzo (se forniti dall’utente).
- Dati di autenticazione: password (memorizzata sotto forma di hash bcrypt non reversibile), eventuale secret per autenticazione a due fattori (cifrato Fernet), backup code (hashati one-way).
- Dati di profilo professionale: bio, email aziendale, categorie di contenuti, giochi (per i creator).
- Dati di sessione e utilizzo: indirizzi IP (parzialmente mascherati nei log generici), tipo di dispositivo, log degli accessi e delle azioni rilevanti.
- Dati relativi ai canali social collegati (per i creator): nome del canale, identificativo piattaforma, statistiche aggregate richieste tramite OAuth dall’utente. I token OAuth sono cifrati e non sono mai esposti all’utente o a terzi.
- Dati relativi alle sponsorizzazioni: riferimenti contrattuali, deliverable, screenshot di statistiche, valori di campagna.
3. Finalità e basi giuridiche del trattamento
| Finalità | Base giuridica (GDPR) |
|---|---|
| Erogazione del servizio SaaS (registrazione, gestione account, sponsorizzazioni, statistiche) | Esecuzione di un contratto — Art. 6(1)(b) |
| Sicurezza, anti-frode, prevenzione abusi, log di accesso | Legittimo interesse — Art. 6(1)(f) |
| Adempimenti fiscali e contabili | Obbligo legale — Art. 6(1)(c) |
| Eventuali comunicazioni di marketing diretto | Consenso espresso e revocabile — Art. 6(1)(a) (al momento non attivo) |
4. Destinatari dei dati e fornitori (Art. 28 GDPR)
I dati possono essere trattati da fornitori di servizi terzi che agiscono come Responsabili del trattamento. Tutti i fornitori sono vincolati da un Data Processing Addendum.
| Fornitore | Ruolo | Region | Trasferimento extra-UE |
|---|---|---|---|
| Cloudflare | Hosting frontend, CDN, R2 (storage media), email routing | Globale / R2 EU | SCC 2021/914 |
| Fly.io | Hosting backend API | Frankfurt (EU) | SCC se fallback US |
| Neon | Database PostgreSQL managed | EU | SCC se applicabile |
| Upstash / redis.io | Redis managed (cache, sessioni, rate limit) | EU | SCC se applicabile |
| Resend | Invio email transazionali | EU | SCC se applicabile |
| API piattaforme social (YouTube, Instagram, Twitch, TikTok) | Sync statistiche autorizzato dall’utente via OAuth | US | L’utente acconsente direttamente con il provider in fase di OAuth |
L’elenco aggiornato è disponibile su richiesta a privacy@creatorhive.app.
5. Trasferimenti extra-UE
Alcuni dei nostri fornitori (Cloudflare, eventuali fallback US) possono trattare dati al di fuori dello Spazio Economico Europeo. In tali casi il trasferimento è regolato dalle Clausole Contrattuali Standard adottate dalla Commissione Europea con Decisione 2021/914 (“SCC”), come previsto dall’Art. 46 GDPR e in conformità alla sentenza Schrems II.
6. Periodo di conservazione
| Categoria di dati | Retention |
|---|---|
| Dati account | Durata del contratto + 30 giorni di grace period dopo richiesta cancellazione |
| Dopo cancellazione account | Username ed email pseudonimizzati conservati per audit trail e prove contrattuali (Art. 17(3)(b)/(e)). Tutti gli altri dati personali sono cancellati o anonimizzati |
| Log generici (REQUEST) | 60 giorni |
| Log di sicurezza e audit | 24 mesi (in conformità al Provv. Garante 27/11/2008) |
| Notifiche | 90 giorni dall’invio (poi archiviate o cancellate) |
| Token OAuth | Eliminati 30 giorni dopo la scadenza se nessun refresh va a buon fine |
| Sponsorizzazioni e contenuti | Per la durata del rapporto contrattuale + obblighi fiscali (10 anni per fatturazione) |
7. Diritti dell’interessato (Art. 15-22 GDPR)
In qualunque momento puoi esercitare i seguenti diritti:
- Diritto di accesso (Art. 15) — ottenere una copia dei tuoi dati personali. Disponibile self-service nelle impostazioni del tuo account (“Esporta i miei dati”) o tramite richiesta a privacy@creatorhive.app.
- Diritto di rettifica (Art. 16) — correggere dati inesatti.
- Diritto alla cancellazione / oblio (Art. 17) — disponibile self-service nelle impostazioni (“Elimina account”) con periodo di grace di 30 giorni durante il quale puoi annullare la richiesta.
- Diritto di limitazione del trattamento (Art. 18).
- Diritto alla portabilità dei dati (Art. 20) — copertura tramite la stessa funzione di export.
- Diritto di opposizione (Art. 21).
- Diritto di revocare il consenso in qualsiasi momento, dove il trattamento si basa sul consenso (es. marketing, una volta attivato).
Per esercitare i diritti che non sono coperti dalle funzioni self-service, scrivi a privacy@creatorhive.app. Risponderemo entro un mese, salvo proroghe motivate ex Art. 12(3) GDPR.
8. Diritto di reclamo
Hai diritto di proporre reclamo all’autorità di controllo competente. In Italia: Garante per la Protezione dei Dati Personali.
9. Misure di sicurezza
Adottiamo misure tecniche e organizzative adeguate alla natura dei dati trattati, tra cui:
- Password protette con bcrypt (cost factor 12).
- Autenticazione a due fattori obbligatoria per i ruoli con privilegi amministrativi.
- Cifratura in transito (TLS 1.2+) e cifratura a riposo per i dati sensibili (Fernet su token OAuth, secret MFA, URL database multi-tenant).
- Segregazione multi-tenant a livello di database e di applicazione.
- Rate limiting, protezione brute force, header di sicurezza HTTP (CSP, HSTS, X-Frame-Options).
- Cleanup automatici di sessioni, log, screenshot e token scaduti.
- Procedura interna di incident response con notifica al Garante entro 72h ai sensi dell’Art. 33 GDPR.
10. Età minima
Il servizio non è destinato a minori di 16 anni. In fase di registrazione l’utente conferma di avere almeno 16 anni.
11. Modifiche alla presente informativa
Ci riserviamo il diritto di aggiornare questa informativa. Le modifiche sostanziali (nuovo trattamento, nuovo fornitore, cambio retention significativo) sono notificate agli utenti registrati che dovranno ri-accettare la nuova versione al successivo accesso. Lo storico delle versioni è mantenuto internamente.
12. Contatti
Per qualsiasi domanda relativa al trattamento dei tuoi dati personali: privacy@creatorhive.app.