1. Titolare del trattamento
Il Titolare del trattamento dei dati personali raccolti tramite la piattaforma Advia è:
BLUMUULAB S.N.C. di Di Marcantonio, Recchia e Barnabei
Via Rieti, 4 — 64026 Roseto degli Abruzzi (TE)
P.IVA / C.F.: 02115540672
Email: info@blumuulab.it
Per qualsiasi questione relativa alla privacy è possibile contattare il Titolare all'indirizzo email indicato sopra.
2. Dati personali raccolti
Advia raccoglie le seguenti categorie di dati personali:
2.1 Dati forniti direttamente dall'utente
- Nome e cognome
- Indirizzo email
- Nome dell'agenzia o dell'organizzazione
- Dati di fatturazione (ragione sociale, P.IVA, indirizzo)
- Contenuti inseriti sulla piattaforma (post, testi, note)
2.2 Dati raccolti automaticamente
- Indirizzo IP
- Tipo di browser e dispositivo
- Dati di utilizzo della piattaforma (pagine visitate, azioni eseguite)
- Log di accesso e attività
2.3 Dati da servizi di terze parti
Quando l'utente collega integrazioni esterne (Google Drive, Meta, Fatture in Cloud, Canva), Advia raccoglie i token di accesso necessari al funzionamento dell'integrazione e i metadati associati (es. ID pagine, nomi account). Tali dati sono trattati esclusivamente per le finalità descritte al punto 4.
3. Utilizzo delle Google APIs e dati Google
Dichiarazione di conformità alle Google API Services User Data Policy
L'utilizzo da parte di Advia delle informazioni ricevute dalle Google APIs è conforme alla Google API Services User Data Policy, inclusi i requisiti di utilizzo limitato.
3.1 Scopo dell'integrazione Google
Advia utilizza le Google APIs esclusivamente per le seguenti funzionalità:
- Google Drive (drive.file scope): permettere agli utenti di selezionare e allegare file dal proprio Google Drive ai post del piano editoriale. L'accesso è limitato ai soli file selezionati esplicitamente dall'utente tramite Google Picker.
- Gmail (gmail.send scope): inviare report di performance ai clienti dall'account Gmail dell'utente connesso, solo quando esplicitamente richiesto dall'utente.
- Profilo Google (userinfo.email, userinfo.profile): identificare l'utente e associare il proprio account Google al profilo Advia.
3.2 Limitazioni d'uso dei dati Google
I dati ottenuti tramite Google APIs sono soggetti alle seguenti restrizioni:
- Utilizzati esclusivamente per fornire le funzionalità descritte sopra
- Non trasferiti a terze parti, ad eccezione dei fornitori di infrastruttura necessari al funzionamento del servizio
- Non utilizzati per pubblicità o per creare profili pubblicitari
- Non analizzati per finalità diverse da quelle dichiarate
- Non utilizzati per addestrare modelli di intelligenza artificiale
3.3 Token di accesso Google
I token OAuth di Google sono memorizzati in modo sicuro nel database della piattaforma (Supabase), cifrati a riposo. Sono utilizzati esclusivamente per eseguire le operazioni richieste dall'utente e non sono mai condivisi con terze parti non autorizzate. L'utente può revocare l'accesso in qualsiasi momento dal proprio account Google o dalle impostazioni di Advia.
4. Protezione dei dati sensibili
Questa sezione descrive le misure tecniche e organizzative adottate da Advia per proteggere i dati degli utenti, inclusi quelli ottenuti tramite API di terze parti come Google.
4.1 Crittografia e sicurezza dei dati
Advia adotta le seguenti misure di protezione dei dati sensibili:
- Crittografia in transito: tutte le comunicazioni tra il browser dell'utente e i server di Advia avvengono tramite protocollo HTTPS/TLS 1.2 o superiore.
- Crittografia a riposo: i dati memorizzati nel database (inclusi token OAuth, dati di accesso e contenuti) sono cifrati a riposo tramite le funzionalità di crittografia di Supabase/PostgreSQL.
- Token OAuth: i token di accesso a servizi esterni (Google, Meta, Fatture in Cloud, Canva) sono memorizzati in modo sicuro nel database con accesso limitato tramite Row Level Security (RLS) di Supabase — ogni utente può accedere solo ai propri token.
- Autenticazione sicura: Advia utilizza il sistema di autenticazione Supabase Auth con gestione sicura delle sessioni e supporto per l'autenticazione a due fattori.
4.2 Controllo degli accessi
- I dati sono accessibili solo agli utenti autenticati con i permessi appropriati
- Il sistema di ruoli (Admin, Manager, Member, Freelance, Client) limita l'accesso ai dati in base alle necessità operative
- Row Level Security (RLS) attiva su tutte le tabelle del database garantisce l'isolamento dei dati tra diversi clienti (multi-tenancy)
- I dati dei clienti di un'agenzia non sono mai accessibili ad altre agenzie
4.3 Gestione delle violazioni dei dati
In caso di violazione dei dati personali che comporti un rischio per i diritti e le libertà degli interessati, Advia si impegna a:
- Notificare l'Autorità Garante competente entro 72 ore dalla scoperta
- Informare gli interessati senza ingiustificato ritardo se la violazione è suscettibile di presentare un rischio elevato
- Documentare tutte le violazioni nel registro delle attività di trattamento
4.4 Minimizzazione dei dati
Advia raccoglie e tratta solo i dati strettamente necessari alle finalità dichiarate, in conformità al principio di minimizzazione dei dati previsto dall'art. 5 del GDPR. In particolare:
- Per Google Drive viene richiesto il solo scope
drive.file(non l'accesso completo al Drive) - Per Gmail viene richiesto solo
gmail.send(solo invio, non lettura) - I token di accesso vengono eliminati automaticamente quando l'utente disconnette l'integrazione
4.5 Valutazione d'impatto (DPIA)
Per i trattamenti ad alto rischio, Advia esegue una valutazione d'impatto sulla protezione dei dati (DPIA) prima di avviare il trattamento, in conformità all'art. 35 del GDPR.
5. Finalità del trattamento
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Erogazione del servizio Advia | Esecuzione del contratto | Durata del contratto + 10 anni |
| Autenticazione e gestione account | Esecuzione del contratto | Fino alla cancellazione account |
| Integrazioni Google Drive e Gmail | Consenso esplicito dell'utente | Fino alla revoca del consenso |
| Integrazioni Meta (Facebook/Instagram) | Consenso esplicito dell'utente | Fino alla revoca del consenso |
| Fatturazione e adempimenti fiscali | Obbligo legale | 10 anni dalla fattura |
| Assistenza e supporto tecnico | Legittimo interesse | 3 anni dall'ultima richiesta |
| Comunicazioni di servizio | Esecuzione del contratto | Durata del contratto |
6. Base giuridica del trattamento
Il trattamento dei dati personali avviene sulla base delle seguenti basi giuridiche previste dall'art. 6 GDPR:
- Esecuzione del contratto (art. 6.1.b): per l'erogazione del servizio Advia
- Consenso (art. 6.1.a): per le integrazioni con servizi esterni (Google, Meta, Canva) e per le comunicazioni promozionali
- Obbligo legale (art. 6.1.c): per gli adempimenti fiscali e contabili
- Legittimo interesse (art. 6.1.f): per la sicurezza della piattaforma e la prevenzione delle frodi
7. Conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, nel rispetto dei termini di prescrizione legali applicabili.
Alla scadenza dell'abbonamento o alla cancellazione dell'account, i dati vengono resi inaccessibili entro 30 giorni ed eliminati definitivamente entro 60 giorni, salvo obblighi di conservazione legale.
8. Comunicazione a terze parti
I dati personali possono essere comunicati ai seguenti soggetti, nella misura strettamente necessaria:
8.1 Fornitori di infrastruttura
- Supabase Inc. (USA) — database e autenticazione
- Vercel Inc. (USA) — hosting e deployment
- Cloudinary Inc. (USA) — gestione media (immagini e video)
8.2 Servizi di integrazione (su richiesta dell'utente)
- Google LLC — Google Drive e Gmail
- Meta Platforms Inc. — Facebook e Instagram
- Fatture in Cloud (TeamSystem) — fatturazione elettronica
- Canva Pty Ltd — creazione contenuti grafici
- Stripe Inc. — elaborazione pagamenti
Tutti i fornitori sono vincolati da accordi di trattamento dei dati conformi al GDPR. I dati non vengono mai venduti o ceduti a terzi per finalità di marketing.
9. Diritti dell'interessato
In qualità di interessato, hai il diritto di:
- Accesso (art. 15 GDPR): ottenere conferma del trattamento e copia dei dati
- Rettifica (art. 16): correggere dati inesatti o incompleti
- Cancellazione (art. 17): richiedere la cancellazione dei dati ("diritto all'oblio")
- Limitazione (art. 18): limitare il trattamento in determinate circostanze
- Portabilità (art. 20): ricevere i propri dati in formato strutturato e leggibile
- Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse
- Revoca del consenso: revocare il consenso prestato in qualsiasi momento
Per esercitare i tuoi diritti, contatta: info@blumuulab.it. Risponderemo entro 30 giorni dalla ricezione della richiesta.
Hai inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
10. Trasferimenti internazionali
Alcuni fornitori di infrastruttura (Supabase, Vercel, Google, Meta, Stripe) hanno sede negli Stati Uniti. I trasferimenti di dati verso tali paesi avvengono nel rispetto delle garanzie previste dal GDPR, in particolare tramite:
- Clausole contrattuali standard approvate dalla Commissione Europea
- Accordo UE-USA Data Privacy Framework (ove applicabile)
- Misure di sicurezza aggiuntive (crittografia end-to-end)
11. Misure di sicurezza
Advia adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione, incluse:
- Crittografia TLS per tutte le comunicazioni
- Crittografia a riposo per il database
- Row Level Security (RLS) su tutte le tabelle
- Autenticazione sicura con gestione sessioni
- Monitoraggio degli accessi e dei log di attività
- Backup automatici giornalieri con retention di 30 giorni
- Aggiornamenti di sicurezza regolari dell'infrastruttura
12. Cookie Policy
Advia utilizza i seguenti tipi di cookie:
12.1 Cookie tecnici (necessari)
| Cookie | Scopo | Durata |
|---|---|---|
| sb-access-token | Autenticazione sessione Supabase | Sessione |
| sb-refresh-token | Rinnovo automatico sessione | 7 giorni |
| theme | Preferenza tema chiaro/scuro | 1 anno |
12.2 Cookie di terze parti
Advia non installa cookie di profilazione o tracciamento di terze parti. Le integrazioni con Google e Meta utilizzano token OAuth memorizzati nel database, non cookie.
12.3 Gestione dei cookie
I cookie tecnici sono necessari al funzionamento della piattaforma e non possono essere disabilitati senza compromettere il servizio. È possibile gestire i cookie tramite le impostazioni del browser.
13. Minori
Advia è una piattaforma professionale destinata esclusivamente ad utenti maggiorenni. Non raccogliamo consapevolmente dati personali di minori di 18 anni. Se vieni a conoscenza che un minore ha creato un account, ti preghiamo di contattarci per procedere alla cancellazione.
14. Modifiche alla presente informativa
Advia si riserva il diritto di modificare la presente informativa in qualsiasi momento, comunicando le modifiche agli utenti tramite email o notifica in-app con almeno 15 giorni di anticipo rispetto all'entrata in vigore. L'uso continuato della piattaforma dopo la modifica costituisce accettazione della nuova informativa.
La versione attuale è entrata in vigore il 1° giugno 2026.
15. Contatti
Per qualsiasi domanda, richiesta o segnalazione relativa alla presente informativa o al trattamento dei tuoi dati personali, contatta:
BLUMUULAB S.N.C.
Via Rieti, 4 — 64026 Roseto degli Abruzzi (TE)
Email privacy: info@blumuulab.it
Sito web: advia.info