Votiq

Informativa sulla Privacy

Data di entrata in vigore: 11 aprile 2026

La presente Informativa sulla Privacy spiega come Votiq (“noi”, “ci” o “nostro”) raccoglie, utilizza, divulga e protegge le informazioni personali quando si utilizza Votiq.io e i servizi correlati (collettivamente, il “Servizio”). Ci impegniamo a trattare i dati dell’utente in modo responsabile e in conformità con le leggi sulla privacy applicabili, incluso il Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR) e il GDPR del Regno Unito.

1. Informazioni che Raccogliamo

Raccogliamo le seguenti categorie di informazioni personali:

Dati dell’Account e del Profilo — Al momento della registrazione, raccogliamo nome, indirizzo email, password (con hash), nome dell’organizzazione, indirizzo di fatturazione e codice fiscale/partita IVA ove applicabile.

Dati di Feedback e Coinvolgimento — Richieste di funzionalità, titoli e descrizioni dei post, commenti, registrazioni dei voti, dati sulle reazioni e iscrizioni al changelog inviate da Fornitori e Utenti finali.

Dati di Crowdfunding e Contributi — Importi dei contributi, selezioni di campagne, stato dei contributi (in sospeso, acquisito, rimborsato) e conferme della finestra di consegna. I dettagli degli strumenti di pagamento sono detenuti da Stripe, non da Votiq.

Dati di Utilizzo e Tecnici — Indirizzi IP, tipo e versione del browser, sistema operativo, URL di riferimento, pagine visitate, tempo trascorso, interazioni con le funzionalità e registri delle richieste API. Questi dati vengono raccolti tramite log di server e analisi di prima parte.

Dati di Comunicazione — Email inviate a noi, ticket di assistenza e preferenze di comunicazione.

Dati di Accesso tramite Terze Parti — Se l’utente si registra tramite un provider di terze parti (ad esempio Google OAuth), riceviamo nome e indirizzo email da tale provider.

2. Come Utilizziamo le Informazioni

Utilizziamo le informazioni raccolte per:

  • Fornire, gestire e mantenere il Servizio.
  • Autenticare gli utenti, gestire le sessioni e applicare i controlli di sicurezza.
  • Elaborare i pagamenti degli abbonamenti e le transazioni di crowdfunding tramite Stripe.
  • Inviare email transazionali (conferma account, reimpostazione password, ricevute dei contributi, aggiornamenti sullo stato delle campagne e notifiche digest).
  • Eseguire funzionalitĂ  basate sull’intelligenza artificiale: rilevamento di post duplicati, analisi del sentiment sui feedback e ricerca semantica tramite embedding vettoriali.
  • Generare analisi aggregate e informazioni sull’utilizzo del prodotto per i Fornitori.
  • Rilevare e prevenire frodi, abusi e incidenti di sicurezza.
  • Adempiere agli obblighi legali e applicare i nostri Termini di Servizio.
  • Migliorare e sviluppare nuove funzionalitĂ  (utilizzando dati aggregati e anonimi).

3. Base Giuridica del Trattamento (GDPR)

Per le persone nell’UE/SEE e nel Regno Unito, trattiamo i dati personali sulla base delle seguenti basi giuridiche:

  • Esecuzione del contratto — Trattamento necessario per fornire il Servizio per cui l’utente si è registrato (gestione dell’account, fatturazione, funzionalitĂ  principali).
  • Legittimo interesse — Monitoraggio della sicurezza, prevenzione delle frodi, analisi del prodotto e miglioramento del Servizio, laddove i nostri interessi non siano prevalsi dai diritti dell’utente.
  • Obbligo legale — Conservazione dei registri finanziari, risposta a richieste legittime delle autoritĂ .
  • Consenso — Comunicazioni di marketing, funzionalitĂ  di analisi facoltative. L’utente può revocare il consenso in qualsiasi momento.

4. Archiviazione e Sicurezza dei Dati

Tutti i dati sono archiviati in Supabase, che opera su infrastruttura Amazon Web Services (AWS) nell’UE (eu-west-1 per impostazione predefinita). I dati sono cifrati a riposo (AES-256) e in transito (TLS 1.2+). L’accesso al database è protetto da politiche di Row-Level Security (RLS) limitate a ciascuna organizzazione.

Adottiamo le seguenti misure di sicurezza: password con hash bcrypt, chiavi API con hash SHA-256, token di sessione JWT a breve durata, revisioni periodiche della sicurezza e controlli di accesso basati sul principio del minimo privilegio per il nostro team. Eseguiamo backup automatici periodici.

Nessun metodo di trasmissione o archiviazione elettronica è sicuro al 100%. Qualora venissimo a conoscenza di una violazione dei dati che incide sui diritti dell’utente, provvederemo a notificare l’utente e le autorità di controllo competenti come richiesto dalla legge.

5. Dati di Pagamento

L’elaborazione dei pagamenti è gestita da Stripe, Inc., un processore di pagamenti certificato PCI DSS di Livello 1. Votiq non archivia, trasmette né ha accesso ai numeri completi delle carte di credito, ai codici CVV o alle coordinate bancarie non elaborate. Stripe archivia i token degli strumenti di pagamento e gestisce tutti i dati delle carte.

Per il crowdfunding, i Fornitori collegano i propri account Stripe tramite Stripe Connect. Stripe agisce come titolare del trattamento indipendente per i dati di pagamento elaborati in relazione ai pagamenti. Si prega di fare riferimento all’Informativa sulla Privacy di Stripe per i dettagli.

6. Elaborazione tramite IA

Votiq utilizza servizi di intelligenza artificiale per migliorare la qualitĂ  della gestione del feedback:

  • Anthropic Claude (Analisi del Sentiment) — I titoli e le descrizioni dei post vengono inviati all’API di Anthropic per classificare il sentiment (positivo, neutrale, negativo) e identificare il tono. Viene trasmesso solo il contenuto testuale del post; nelle richieste non sono incluse informazioni sull’account personalmente identificabili. I dati vengono trattati in conformitĂ  con l’Informativa sulla Privacy di Anthropic.
  • VoyageAI (Embedding Semantici) — Il testo dei post viene convertito in embedding vettoriali da VoyageAI per abilitare la ricerca di similaritĂ  semantica e il rilevamento dei duplicati. Viene trasmesso solo il testo del post. Gli embedding vengono archiviati in Supabase e utilizzati esclusivamente nell’ambito della propria organizzazione. I dati vengono trattati in conformitĂ  con l’informativa sulla privacy di VoyageAI.

L’elaborazione tramite IA è abilitata per impostazione predefinita per i Fornitori con piani a pagamento, ma può essere disabilitata nelle impostazioni dell’area di lavoro. Non utilizziamo i dati dell’utente per addestrare modelli di IA di terze parti; i dati inviati a queste API vengono utilizzati esclusivamente per l’inferenza sui contenuti dell’utente.

7. Servizi di Terze Parti

Condividiamo dati con le seguenti terze parti solo nella misura necessaria per fornire il Servizio:

  • Stripe — Elaborazione dei pagamenti e pagamenti tramite Stripe Connect.
  • Supabase — Database, autenticazione, realtime e archiviazione file (ospitato su AWS).
  • Vercel — Hosting dell’applicazione e rete edge (CDN). Vercel elabora i log delle richieste che possono includere indirizzi IP.
  • Resend — Recapito di email transazionali (email dell’account, ricevute dei contributi, digest).
  • Anthropic — Analisi del sentiment tramite IA (solo testo del post).
  • VoyageAI — Embedding vettoriali semantici (solo testo del post).
  • Inngest — Orchestrazione di job in background per l’elaborazione asincrona (ad esempio, acquisizione di pagamenti, trigger email). I payload dei job possono contenere riferimenti a ID utente e ID post.

Non vendiamo i dati personali dell’utente a terzi. Non condividiamo i dati dell’utente con inserzionisti. La condivisione dei dati con i sub-responsabili del trattamento è disciplinata da Accordi sul Trattamento dei Dati ove richiesto dal GDPR.

8. Cookie e Archiviazione Locale

Votiq utilizza esclusivamente cookie essenziali. Non utilizziamo cookie pubblicitari o di tracciamento di terze parti.

  • Cookie di sessione — Impostati da Supabase Auth per mantenere la sessione autenticata. Vengono eliminati alla chiusura del browser o alla disconnessione.
  • Cookie di preferenza — Memorizzano le preferenze dell’interfaccia utente come il tema (modalitĂ  chiara/scura) e la selezione della lingua.
  • Token CSRF — Token a breve durata utilizzati per proteggere l’invio dei moduli.

Utilizziamo l’archiviazione locale del browser per memorizzare nella cache lo stato dell’interfaccia utente non sensibile (ad esempio, selezioni di filtri aperte). Nessun dato personale viene archiviato nell’archiviazione locale. L’utente può cancellare l’archiviazione locale in qualsiasi momento tramite le impostazioni del browser.

PoichĂŠ utilizziamo esclusivamente cookie essenziali, non viene visualizzato alcun banner di consenso ai cookie. Se i cookie vengono disabilitati, le funzionalitĂ  di autenticazione non funzioneranno.

9. Conservazione dei Dati

Conserviamo i dati personali per i seguenti periodi:

  • Dati dell’account — Conservati per la durata dell’abbonamento piĂš 30 giorni dopo l’eliminazione dell’account, per consentire l’esportazione dei dati. Trascorsi 30 giorni, i dati dell’account vengono eliminati definitivamente.
  • Dati di feedback e post — Conservati mentre l’account dell’organizzazione è attivo. Eliminati entro 30 giorni dall’eliminazione dell’account.
  • Registri finanziari — La cronologia della fatturazione e i registri delle transazioni vengono conservati per 7 anni per adempiere agli obblighi legali contabili e fiscali.
  • Log del server — I log delle richieste vengono conservati per 90 giorni per la sicurezza e il debug.
  • Embedding IA — Eliminati entro 30 giorni dall’eliminazione dell’account.

10. Diritti dell’Utente (GDPR e Diritti sulla Privacy)

A seconda della propria ubicazione, l’utente potrebbe avere i seguenti diritti riguardo ai propri dati personali:

  • Diritto di accesso — Richiedere una copia dei dati personali in nostro possesso.
  • Diritto di rettifica — Richiedere la correzione di dati inesatti o incompleti.
  • Diritto alla cancellazione (“diritto all’oblio”) — Richiedere la cancellazione dei dati personali, fatti salvi gli obblighi di conservazione legale.
  • Diritto alla portabilitĂ  dei dati — Ricevere i propri dati in un formato leggibile da macchina (JSON/CSV).
  • Diritto alla limitazione del trattamento — Richiedere che limitiamo il trattamento dei dati in determinate circostanze.
  • Diritto di opposizione — Opporsi al trattamento basato su legittimo interesse o per marketing diretto.
  • Diritto di revocare il consenso — Laddove il trattamento sia basato sul consenso, revocarlo in qualsiasi momento.

Risponderemo alle richieste verificate entro 30 giorni (prorogabili di ulteriori 60 giorni per richieste complesse, con relativa comunicazione). Potremmo dover verificare l’identità dell’utente prima di evadere una richiesta.

11. Esportazione dei Dati ed Eliminazione dell’Account (GDPR)

Votiq fornisce strumenti self-service per l’esercizio dei diritti sui dati:

  • Esportazione dei dati — Disponibile nelle impostazioni dell’area di lavoro alla voce “Dati & Privacy”. È possibile scaricare un’esportazione JSON completa dei post, dei voti, dei commenti, dei changelog e dei dati dei membri della propria organizzazione.
  • Eliminazione dell’account — Disponibile nelle impostazioni dell’area di lavoro. L’eliminazione dell’account avvia un periodo di tolleranza di 30 giorni durante il quale i dati vengono conservati ed esportabili. Trascorsi 30 giorni, tutti i dati personali vengono eliminati in modo permanente e irreversibile, ad eccezione dei registri finanziari conservati per obbligo legale.

Per inviare una richiesta manuale sui dati o per ricevere assistenza, contattare privacy@votiq.io.

12. Trasferimenti Internazionali di Dati

Votiq archivia ed elabora i dati principalmente nell’UE (AWS eu-west-1). Tuttavia, alcuni dei nostri sub-responsabili del trattamento operano negli Stati Uniti (Stripe, Anthropic, VoyageAI, Inngest, Vercel, Resend). Laddove i dati personali vengano trasferiti al di fuori dell’UE/SEE, garantiamo l’adozione di adeguate salvaguardie, incluse:

  • Clausole Contrattuali Standard (SCC) dell’UE incorporate negli Accordi sul Trattamento dei Dati.
  • Decisioni di adeguatezza della Commissione europea ove applicabili.

L’utente può richiedere informazioni sulle specifiche salvaguardie adottate per i trasferimenti internazionali contattando privacy@votiq.io.

13. Privacy dei Minori

Il Servizio non è rivolto né destinato all’uso da parte di persone di età inferiore ai 16 anni. Non raccogliamo consapevolmente dati personali di minori di 16 anni. Qualora scoprissimo che un minore di 16 anni ci ha fornito dati personali, adotteremo misure per eliminarli tempestivamente. Se si ritiene che un minore abbia fornito i propri dati, si prega di contattare privacy@votiq.io.

14. Modifiche alla Presente Informativa

Potremmo aggiornare la presente Informativa sulla Privacy di tanto in tanto. In caso di modifiche sostanziali, informeremo l’utente via email o mediante avviso prominente sul Servizio almeno 14 giorni prima che le modifiche entrino in vigore. Invitiamo l’utente a esaminare periodicamente la presente informativa. Il continuo utilizzo del Servizio dopo la data di entrata in vigore costituisce accettazione dell’informativa aggiornata.

15. Responsabile della Protezione dei Dati

Abbiamo designato un Responsabile della Protezione dei Dati (RPD) incaricato di supervisionare le nostre pratiche in materia di protezione dei dati. Per domande o dubbi in merito al trattamento dei dati personali, è possibile contattare il nostro RPD all’indirizzo:

Responsabile della Protezione dei Dati, Votiq
privacy@votiq.io

L’utente ha inoltre il diritto di proporre reclamo presso l’autorità di controllo locale per la protezione dei dati. Nell’UE, è possibile trovare l’autorità nazionale competente su edpb.europa.eu.

16. Contatti

Per qualsiasi richiesta relativa alla privacy, esercizio dei diritti degli interessati o domande sulla presente informativa, si prega di contattare:

Team Privacy Votiq
privacy@votiq.io

Informativa sulla Privacy — Votiq