Privacy Policy

0. Titolare del Trattamento

Titolare del Trattamento dei dati personali raccolti tramite StudyFlow è William Casotto, sviluppatore e gestore della piattaforma, con sede in Italia (EEA).

Per qualsiasi questione relativa alla privacy e al trattamento dei tuoi dati, puoi contattarci all'indirizzo: studyflow@study-flow.cloud.

Per richieste di supporto generale: studyflow@study-flow.cloud.

Nota: StudyFlow non ha nominato un DPO in quanto, allo stato attuale, non ricorrono le condizioni di obbligatorietà previste dall'art. 37 GDPR (il trattamento non è effettuato su larga scala né riguarda categorie particolari di dati).

1. Dati raccolti

StudyFlow raccoglie dati identificativi (nome, email), dati tecnici (indirizzo IP, device, log di sessione) e dati di utilizzo della piattaforma.

I dati possono includere contenuti caricati dall'utente (appunti, mappe concettuali, flashcard) per fornire le funzionalità richieste.

Al momento della registrazione raccogliamo l'anno di nascita dell'utente per garantire il rispetto dei limiti di età previsti dalla normativa (GDPR Art. 8, D.Lgs. 196/2003 Art. 2-quinquies).

2. Finalità del trattamento

I dati vengono trattati per erogare il servizio, gestire l'account, migliorare le funzionalità, prevenire abusi e adempiere a obblighi legali.

Le informazioni possono essere usate anche per comunicazioni operative legate all'account (conferma email, reset password, notifiche di sicurezza).

3. Base giuridica

Il trattamento si basa sull'esecuzione del contratto di servizio (Art. 6(1)(b) GDPR), sul legittimo interesse del titolare per sicurezza e miglioramento del servizio (Art. 6(1)(f) GDPR), e — per cookie e tracciamento non essenziale — sul consenso esplicito dell'utente (Art. 6(1)(a) GDPR).

L'elaborazione tramite sistemi AI è basata sull'esecuzione del contratto, in quanto costituisce il servizio principale richiesto dall'utente.

4. Conservazione dei dati (Retention)

I dati vengono conservati solo per il tempo strettamente necessario alle finalità indicate, in conformità al principio di limitazione della conservazione (GDPR Art. 5(1)(e)).

Dati account (nome, email, profilo): durata del contratto + 5 anni per obblighi legali.

Contenuti utente (appunti, mappe, flashcard): durata dell'account attivo; eliminati immediatamente su cancellazione account.

Log di consenso privacy: 5 anni dalla data del consenso (prova legale ai sensi GDPR Art. 7).

Log di sessione e autenticazione: 90 giorni.

Log interazioni AI: 12 mesi (anonimizzati dopo 30 giorni).

Dati di analytics (GA4): 14 mesi (impostazione standard Google Analytics).

In caso di chiusura account, i dati vengono eliminati entro 30 giorni dalla richiesta, salvo obblighi di legge (es. obblighi fiscali per i dati di fatturazione: 10 anni).

I registri tecnici necessari per accountability legale (es. log di consenso e richieste privacy) possono essere conservati anche dopo la cancellazione account per il periodo strettamente richiesto dalla legge.

5. Condivisione con terzi e trasferimenti extra-UE

StudyFlow si avvale di fornitori terzi (sub-responsabili del trattamento) per erogare i propri servizi. Con ciascuno è in vigore un accordo di protezione dei dati (DPA) conforme al GDPR Art. 28.

Supabase (database e autenticazione): server USA, trasferimento coperto da Standard Contractual Clauses (SCCs).

Google Analytics 4 e Google Ads (misurazione e pubblicità): USA, trasferimento coperto dall'EU-US Data Privacy Framework (adottato luglio 2023). Google è certificata nel framework.

Provider AI — OpenAI / Anthropic (elaborazione contenuti Nexus): USA, trasferimento coperto da SCCs e DPA specifici. I prompt degli utenti non sono utilizzati per addestrare i modelli (opzione zero data retention dove applicabile).

Vercel (hosting e edge network): USA e globale, trasferimento coperto dall'EU-US Data Privacy Framework e SCCs.

5-bis. Cookie e tracciamento

L'uso di cookie e tecnologie analoghe è disciplinato anche dalla Cookie Policy dedicata, dove sono descritte categorie, finalità e modalità di gestione del consenso.

Il consenso ai cookie non necessari può essere modificato o revocato in qualsiasi momento tramite il pannello preferenze accessibile dal banner o dal footer del sito.

5-ter. Sistemi di Intelligenza Artificiale (EU AI Act)

StudyFlow utilizza sistemi di intelligenza artificiale per generare mappe concettuali, riassunti e test. In conformità con l'EU AI Act e con il principio di trasparenza, informiamo l'utente che tali contenuti sono generati algoritmicamente.

I sistemi AI di StudyFlow sono classificati a rischio limitato ai sensi dell'EU AI Act (Allegato III non applicabile in quanto non vi è valutazione o decisione automatizzata che incide sui diritti dell'utente). L'utente mantiene sempre il controllo sui contenuti prodotti.

Gli input forniti dall'utente sono trattati in modo sicuro e non sono utilizzati per l'addestramento di modelli di terze parti senza consenso esplicito.

5-quater. Protezione dei minori

StudyFlow è destinato a utenti che abbiano compiuto almeno 14 anni, in conformità con il D.Lgs. 196/2003 (Codice Privacy italiano) e il GDPR Art. 8.

Gli utenti di età compresa tra 14 e 17 anni possono accedere al servizio con il consenso del genitore o tutore legale, che viene confermato durante la registrazione.

Se veniamo a conoscenza che un utente di età inferiore a 14 anni ha creato un account senza le necessarie autorizzazioni, provvederemo alla cancellazione dell'account e dei dati associati.

6. Diritti dell'utente

In qualità di interessato, hai il diritto di: accedere ai tuoi dati (Art. 15), rettificarli (Art. 16), cancellarli (Art. 17), limitarne il trattamento (Art. 18), riceverli in formato portabile (Art. 20), opporti al trattamento (Art. 21).

Per esercitare i tuoi diritti, invia una richiesta a: studyflow@study-flow.cloud. Risponderemo entro 30 giorni dalla ricezione.

Puoi inoltre esercitare il diritto all'export e alla cancellazione direttamente dalle impostazioni del tuo account (sezione "Privacy & Dati").

Hai il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) se ritieni che il trattamento dei tuoi dati violi il GDPR o la normativa nazionale applicabile.

7. Riferimenti normativi

Questa Privacy Policy è redatta in conformità con: Regolamento UE 2016/679 (GDPR), D.Lgs. 196/2003 modificato dal D.Lgs. 101/2018 (Codice Privacy italiano), Provvedimento Garante Privacy sui cookie del 9 giugno 2022, Regolamento UE 2024/1689 (EU AI Act), Legge italiana 132/2025 (attuazione nazionale AI Act).

In coerenza con il quadro italiano, la tutela dei dati personali è interpretata anche alla luce degli articoli 2, 3 e 15 della Costituzione italiana (tutela dei diritti fondamentali, principio di uguaglianza, libertà e segretezza delle comunicazioni).