Informativa resa ai sensi degli Artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e della normativa nazionale vigente in materia di protezione dei dati personali (D.lgs. 196/2003 come modificato dal D.lgs. 101/2018) a coloro che interagiscono con il servizio RoverView.
1. Titolare del trattamento e ruoli privacy
Per i trattamenti relativi alla gestione del rapporto contrattuale, alla creazione e amministrazione degli account, alla sicurezza della piattaforma e all'uso del sito web e delle applicazioni, il Titolare del trattamento dei dati personali è Nova42 S.r.l. (di seguito "Titolare" o "Nova42").
Per i dati che l'Agenzia importa, carica, genera o collega al Servizio per conto dei propri clienti — inclusi metriche di performance, contenuti editoriali, documenti, brand memory, asset creativi e dati provenienti da piattaforme terze — Nova42 opera quale Responsabile del trattamento ai sensi dell'Art. 28 del GDPR per conto dell'Agenzia, che resta Titolare del trattamento di tali dati. Restano in ogni caso in capo a Nova42, in qualità di autonomo Titolare, i trattamenti svolti per obblighi di legge, sicurezza della piattaforma, prevenzione degli abusi e tutela dei propri diritti.
L'Agenzia che intenda designare formalmente Nova42 quale Responsabile del trattamento può richiedere la sottoscrizione di un apposito accordo ex Art. 28 GDPR (Data Processing Agreement) scrivendo a info@nova42.it.
2. Dati raccolti
Il Titolare raccoglie e tratta le seguenti categorie di dati personali:
- Dati di registrazione: nome, cognome, indirizzo e-mail, password (conservata esclusivamente in forma di hash crittografico), denominazione dell'agenzia e ruolo aziendale forniti dall'Utente in fase di creazione dell'account.
- Dati di autenticazione e sessione: token di accesso e refresh, identificativi di sessione, informazioni sul dispositivo utilizzato, indirizzo IP e stringa user-agent, necessari per l'autenticazione sicura e la gestione delle sessioni.
- Dati di navigazione e diagnostica: indirizzo IP, tipo e versione del browser, sistema operativo, pagine visitate all'interno del Servizio, timestamp delle richieste HTTP e log tecnici raccolti automaticamente dall'infrastruttura del Servizio.
- Dati statistici degli account collegati ("Dati Statistici"): quando l'Utente collega account di piattaforme supportate, RoverView accede — tramite token OAuth e le relative API — a metriche di performance, dati di audience, statistiche sui contenuti e informazioni sull'andamento delle campagne, nei limiti dei permessi concessi durante il flusso di autorizzazione. Le integrazioni attualmente disponibili comprendono Instagram/Meta, TikTok, Google Analytics e LinkedIn; ulteriori piattaforme potranno essere aggiunte o rimosse nel tempo. I Dati Statistici vengono archiviati in piattaforma in modo indipendente dall'Agenzia e dal Cliente: sono associati all'account della piattaforma terza di origine e non all'Agenzia che ha effettuato il collegamento. Ciò consente la continuità dello storico analitico anche in caso di cambio dell'Agenzia che gestisce il Cliente o di disconnessione dell'account.
- Dati e contenuti documentali dell'Agenzia ("Contenuti dell'Agenzia"): il Servizio consente all'Agenzia e ai suoi Utenti di caricare, creare e archiviare all'interno della piattaforma documenti, URL, note operative, brief creativi, linee guida editoriali, brand memory, asset grafici, report generati e qualsiasi altro contenuto inserito per conto dei propri Clienti. Tali dati sono di proprietà dell'Agenzia che li ha inseriti, sono conservati nei sistemi del Fornitore per l'intera durata del rapporto contrattuale e restano accessibili all'Agenzia e agli Utenti da essa autorizzati.
- Dati elaborati tramite intelligenza artificiale: i testi, i documenti e i dati sottoposti dall'Utente alle funzionalità di analisi, generazione di insight e ricerca semantica del Servizio vengono trasmessi ai provider AI integrati (attualmente Anthropic e OpenAI) nella misura strettamente necessaria all'elaborazione richiesta. Gli output generati vengono salvati in piattaforma e associati al workspace dell'Agenzia quali Contenuti dell'Agenzia.
- Cookie tecnici e tecnologie equivalenti: il sito e le applicazioni utilizzano esclusivamente cookie e tecnologie di storage locale strettamente necessari al funzionamento del Servizio, all'autenticazione e alla memorizzazione delle preferenze dell'Utente.
2.1. Permessi e funzionalità dell'integrazione con Meta (Facebook e Instagram)
RoverView tratta i dati provenienti da Facebook e Instagram esclusivamente tramite i permessi e le funzionalità elencati di seguito. Tutti gli accessi sono in sola lettura: RoverView non pubblica, non modifica e non elimina contenuti sugli account collegati.
Permessi concessi dall'Utente al collegamento di una Pagina Facebook o di un account Instagram Business, tramite la schermata di consenso OAuth di Meta:
- pages_show_list — elenco delle Pagine Facebook gestite dall'Utente (identificativo e nome). Finalità: consentire all'operatore di selezionare la Pagina del Cliente da collegare. Base giuridica: esecuzione del contratto.
- pages_read_engagement — contatori di engagement aggregati a livello di Pagina (totali di reazioni, commenti e condivisioni). Finalità: alimentare la dashboard analitica organica di Facebook. Base giuridica: esecuzione del contratto.
- pages_read_user_content — i post pubblicati dalla Pagina e i commenti lasciati su di essi. Finalità: mostrare all'operatore i contenuti e le conversazioni della Pagina. Base giuridica: esecuzione del contratto.
- instagram_basic — dati di profilo dell'account Instagram Business collegato (handle, biografia, immagine del profilo). Finalità: visualizzare il profilo Instagram nella dashboard. Base giuridica: esecuzione del contratto.
- instagram_manage_insights — insight dell'account Instagram (copertura, visualizzazioni del profilo, demografiche aggregate dei follower, copertura, like e commenti per singolo post). Finalità: alimentare la dashboard analitica organica di Instagram. Base giuridica: esecuzione del contratto.
Funzionalità a livello di app per l'accesso a dati esclusivamente pubblici, utilizzate per la dashboard di benchmark competitivo:
- Page Public Content Access — metadati e post pubblici delle Pagine concorrenti aggiunte dall'agenzia: metadati (nome, categoria, numero di fan e di follower, immagine, descrizione, link, stato di verifica, sito web) e post pubblici (identificativo, testo, data di pubblicazione, permalink, totali aggregati di reazioni, commenti e condivisioni). Finalità: benchmark competitivo e calcolo dell'engagement medio mostrato nella relativa dashboard. Base giuridica: legittimo interesse dell'agenzia, bilanciato con la natura pubblica del dato.
L'Utente può revocare l'accesso in qualsiasi momento dalle impostazioni di Facebook ("Impostazioni → App e siti web"). Le richieste di cancellazione dei dati inoltrate tramite Meta sono gestite automaticamente: gli account collegati, le relative credenziali e i dati sincronizzati vengono rimossi immediatamente dal Servizio e cancellati in via definitiva entro 90 giorni dalla richiesta. Vedi anche i Termini e Condizioni d'Uso, Art. 8.
2.2. Permessi e funzionalità dell'integrazione con TikTok
RoverView tratta i dati provenienti da TikTok esclusivamente tramite i permessi (scope) elencati di seguito, concessi dall'Utente attraverso il flusso di autorizzazione ufficiale TikTok Login Kit (OAuth 2.0 con PKCE). Tutti gli accessi sono in sola lettura: RoverView non pubblica, non modifica, non elimina e non commenta contenuti sugli account TikTok collegati, e non utilizza alcun endpoint di pubblicazione (Content Posting).
Scope concessi dall'Utente al collegamento di un account TikTok:
- user.info.basic — identificativi dell'account (
open_id,union_id), nome visualizzato e immagine del profilo (display_name,avatar_url). Finalità: identificare l'account collegato e mostrarne nome e avatar nella dashboard. Base giuridica: esecuzione del contratto. - user.info.profile — dati di profilo (
username,bio_description,is_verified,profile_deep_link). Finalità: mostrare l'handle@, la biografia, il badge di account verificato e il link al profilo. Base giuridica: esecuzione del contratto. - user.info.stats — statistiche aggregate dell'account
(
follower_count,following_count,likes_count,video_count). Finalità: alimentare le card KPI e i grafici di andamento della dashboard. Base giuridica: esecuzione del contratto. - video.list — metadati e metriche di performance dei soli video di proprietà dell'Utente (visualizzazioni, like, commenti e condivisioni per singolo video), letti tramite la Display API. Finalità: alimentare la griglia e i grafici di performance per video. Base giuridica: esecuzione del contratto.
I token di accesso TikTok sono cifrati a riposo, rinnovati automaticamente e revocati alla disconnessione dell'account. L'Utente può revocare l'accesso in qualsiasi momento dalle impostazioni del proprio account TikTok ("Impostazioni e privacy → Gestione delle autorizzazioni"). Alla disconnessione, gli account collegati, le relative credenziali e i dati sincronizzati vengono rimossi immediatamente dal Servizio e cancellati in via definitiva entro 90 giorni. Il trattamento dei dati TikTok avviene nel rispetto dei TikTok Developer Terms of Service e delle relative Platform Policies. Vedi anche i Termini e Condizioni d'Uso, Art. 8.
3. Finalità del trattamento
I dati personali sono trattati per le seguenti finalità:
- Erogazione del Servizio: fornitura delle funzionalità di RoverView, incluse l'analisi multi-canale delle performance di marketing, la connessione e sincronizzazione con account di piattaforme terze, la gestione documentale, l'archiviazione di brand memory e asset, e la generazione di insight e report tramite strumenti di intelligenza artificiale.
- Gestione dell'account: creazione, autenticazione, autorizzazione per ruolo (Amministratore, Operatore, Cliente), recupero credenziali e supporto tecnico.
- Archiviazione e persistenza dei Dati Statistici: conservazione dei dati statistici provenienti dagli account collegati in forma indipendente dall'Agenzia, al fine di garantire la continuità storica delle metriche, la portabilità del dato verso nuove Agenzie incaricate e il funzionamento del Servizio.
- Archiviazione dei Contenuti dell'Agenzia: conservazione dei documenti, della brand memory, dei report e degli asset caricati o generati dall'Agenzia all'interno della piattaforma, al fine di garantirne la disponibilità e l'accessibilità nel tempo.
- Adempimenti di legge: obblighi normativi, contabili, fiscali e di conservazione documentale.
- Sicurezza e prevenzione abusi: protezione dell'integrità della piattaforma, prevenzione di accessi non autorizzati, gestione dei log di audit e troubleshooting.
- Miglioramento del Servizio: analisi aggregate e pseudonimizzate dell'utilizzo della piattaforma, al fine di ottimizzare le funzionalità esistenti e svilupparne di nuove.
4. Base giuridica del trattamento
Ciascuna finalità di trattamento si fonda su una specifica base giuridica ai sensi dell'Art. 6 del GDPR:
- Esecuzione del contratto (Art. 6, par. 1, lett. b): per l'erogazione del Servizio, la gestione dell'account, l'autenticazione, l'archiviazione dei Contenuti dell'Agenzia e dei Dati Statistici in piattaforma e l'esecuzione delle funzionalità richieste dall'Utente, inclusi i collegamenti a piattaforme terze e l'elaborazione AI.
- Legittimo interesse del Titolare (Art. 6, par. 1, lett. f): per la sicurezza della piattaforma, la prevenzione di abusi e frodi, la gestione dei log, il troubleshooting, il miglioramento del Servizio, nonché per la conservazione dei Dati Statistici degli account collegati in forma indipendente dall'Agenzia, al fine di garantire la continuità dello storico analitico, la portabilità del dato e il corretto funzionamento della piattaforma. L'interessato ha diritto di opporsi a tale trattamento ai sensi dell'Art. 21 del GDPR.
- Obbligo legale (Art. 6, par. 1, lett. c): per gli adempimenti normativi, contabili e fiscali imposti dalla legislazione italiana e dell'Unione Europea.
5. Destinatari e comunicazione dei dati
I dati personali possono essere comunicati alle seguenti categorie di destinatari, ciascuna nei limiti di quanto strettamente necessario:
- Provider di hosting e infrastruttura cloud: per l'erogazione tecnica del Servizio, l'archiviazione sicura dei dati e la distribuzione dei contenuti (server, database, CDN, servizi di backup).
- Provider di intelligenza artificiale: fornitori di modelli linguistici e di embedding utilizzati dal Servizio per le funzionalità di analisi, generazione di insight e ricerca semantica (attualmente Anthropic e OpenAI). I dati trasmessi sono limitati al contenuto strettamente necessario per l'elaborazione della specifica richiesta dell'Utente.
- Piattaforme terze collegate: Meta/Instagram, TikTok, Google Analytics, LinkedIn e altre piattaforme eventualmente integrate, limitatamente ai flussi di dati autorizzati dall'Utente attraverso il meccanismo OAuth.
- Consulenti e fornitori autorizzati: soggetti che assistono Nova42 in ambito tecnico, amministrativo, legale, contabile o di sicurezza informatica, designati ove necessario quali responsabili del trattamento ai sensi dell'Art. 28 GDPR.
- Autorità competenti: organi giurisdizionali, amministrativi o di vigilanza, nei casi previsti dalla legge o da provvedimenti vincolanti.
I dati personali non vengono in alcun caso ceduti, venduti, concessi in licenza o altrimenti condivisi con terze parti per finalità di marketing, profilazione commerciale o pubblicità.
6. Trasferimento dei dati al di fuori dello SEE
Alcuni dei fornitori indicati al punto 5 — in particolare i provider di intelligenza artificiale e di infrastruttura cloud — possono avere sede o trattare dati al di fuori dello Spazio Economico Europeo, inclusi gli Stati Uniti d'America. In tal caso, il trasferimento avviene sulla base di uno o più dei seguenti strumenti previsti dal Capo V del GDPR:
- Decisioni di adeguatezza adottate dalla Commissione Europea ai sensi dell'Art. 45 GDPR, incluso l'EU-U.S. Data Privacy Framework per i fornitori ivi certificati.
- Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea ai sensi dell'Art. 46, par. 2, lett. c) del GDPR, eventualmente integrate da misure supplementari di sicurezza tecnica e organizzativa.
- Ulteriori garanzie adeguate previste dall'Art. 46 del GDPR.
L'interessato può ottenere copia delle garanzie adottate contattando il Titolare all'indirizzo info@nova42.it.
7. Conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità indicate, nel rispetto del principio di minimizzazione. La piattaforma RoverView distingue tre categorie di dati con regole di conservazione diverse:
- Dati Statistici degli account collegati: le metriche di performance, i dati di audience e le statistiche provenienti dagli account delle piattaforme terze collegate sono conservati in piattaforma a tempo indeterminato e in modo indipendente dall'Agenzia e dal Cliente. Tali dati costituiscono asset della piattaforma e non vengono cancellati in caso di: (i) scollegamento di un Cliente da un'Agenzia; (ii) eliminazione di un Cliente dalla piattaforma; (iii) cancellazione dell'account dell'Agenzia. I Dati Statistici restano disponibili per essere visualizzati da un'eventuale nuova Agenzia che venga incaricata della gestione del medesimo account. Fa eccezione la richiesta di cancellazione inoltrata da un utente tramite Meta (Facebook): in tal caso i dati relativi all'integrazione Meta vengono rimossi dal Servizio e cancellati in via definitiva entro 90 giorni dalla richiesta (vedi punto 2.1).
- Contenuti dell'Agenzia (documenti, brand memory, brief, asset, report, output AI): sono di proprietà dell'Agenzia e vengono conservati per l'intera durata del rapporto contrattuale. In caso di cancellazione dell'account dell'Agenzia, tali Contenuti vengono eliminati dai sistemi della piattaforma, fatti salvi i tempi tecnici di rimozione dai backup (di norma entro 90 giorni) e gli eventuali obblighi di conservazione previsti dalla legge. In caso di eliminazione di un Cliente dalla piattaforma, i Contenuti dell'Agenzia associati a quel Cliente (documenti, brand memory, brief e asset caricati dall'Agenzia) vengono conservati per un periodo di 90 giorni dalla data di eliminazione, durante il quale l'Agenzia può richiederne l'esportazione, dopodiché vengono cancellati definitivamente.
- Dati dell'account e dati amministrativi: per l'intera durata del rapporto contrattuale e, successivamente, fino a 10 anni dalla cessazione, per obblighi fiscali, contabili e per l'eventuale tutela dei diritti in sede giudiziaria ai sensi degli artt. 2946 e ss. del Codice Civile.
- Log tecnici e dati di navigazione: di norma fino a un massimo di 12 mesi dalla raccolta, salvo diversa esigenza documentata di sicurezza informatica o obbligo di legge.
- Token e dati di sessione: fino alla revoca, scadenza naturale o disconnessione dell'account collegato. I dati relativi a flussi OAuth temporanei vengono eliminati automaticamente allo scadere dei relativi termini tecnici.
8. Natura del conferimento e conseguenze del rifiuto
Il conferimento dei dati necessari alla registrazione, all'autenticazione e alla gestione del rapporto contrattuale ha natura obbligatoria. Il mancato conferimento comporta l'impossibilità di creare un account e di accedere al Servizio.
Il conferimento di dati ulteriori — quali documenti, contenuti di brand memory, asset creativi o il collegamento ad account di piattaforme terze — ha natura facoltativa. Tuttavia, la mancata comunicazione di tali dati potrebbe impedire l'utilizzo di specifiche funzionalità del Servizio o limitarne l'efficacia.
9. Diritti dell'interessato
Ai sensi degli articoli da 15 a 22 del GDPR, l'interessato può in qualsiasi momento esercitare i seguenti diritti:
Ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati personali e alle informazioni relative al trattamento.
Ottenere senza ritardo la correzione di dati personali inesatti o l'integrazione di dati incompleti.
Ottenere la cancellazione dei propri dati personali quando sussiste uno dei motivi previsti dal GDPR.
Ottenere la limitazione del trattamento nei casi previsti dall'Art. 18 del GDPR.
Ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad altro titolare.
Opporsi in qualsiasi momento al trattamento fondato sul legittimo interesse, per motivi connessi alla propria situazione particolare.
Per esercitare i diritti sopra indicati, l'interessato può contattare il Titolare scrivendo a info@nova42.it. Il Titolare fornirà riscontro senza ingiustificato ritardo e, in ogni caso, entro 30 giorni dalla ricezione della richiesta, salvo proroga motivata di ulteriori 60 giorni nei casi di particolare complessità.
L'interessato ha inoltre il diritto di proporre reclamo all'Autorità di controllo competente: Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it.
10. Cookie, storage locale e tecnologie di tracciamento
RoverView non utilizza cookie di profilazione, cookie pubblicitari né tecnologie di tracciamento finalizzate al monitoraggio del comportamento dell'Utente a fini commerciali.
I cookie e le tecnologie equivalenti eventualmente impiegati dal sito web e dalla web app sono limitati a finalità tecniche strettamente necessarie al funzionamento del Servizio (autenticazione, gestione delle sessioni, memorizzazione delle preferenze di interfaccia) e, in quanto tali, sono esenti dall'obbligo di consenso preventivo ai sensi dell'Art. 122, comma 1, del D.lgs. 196/2003 e delle Linee Guida del Garante in materia di cookie del 10 giugno 2021.
Nelle applicazioni client, token di autenticazione e preferenze locali possono essere memorizzati sul dispositivo dell'Utente tramite meccanismi di storage locale funzionalmente equivalenti ai cookie tecnici.
11. Processi decisionali automatizzati e intelligenza artificiale
Il Titolare non adotta processi decisionali interamente automatizzati che producano effetti giuridici o incidano in modo analogo significativamente sull'interessato ai sensi dell'Art. 22 del GDPR.
Le funzionalità di intelligenza artificiale integrate nel Servizio — incluse l'analisi delle performance, la generazione di insight, i suggerimenti editoriali e la ricerca semantica nei documenti — hanno esclusivamente natura di supporto informativo e operativo. Gli output generati dall'AI non sostituiscono la valutazione professionale dell'Utente, che resta in ogni caso l'unico responsabile delle decisioni assunte sulla base di tali output.
I dati sottoposti all'elaborazione AI non vengono utilizzati dai provider terzi per l'addestramento dei propri modelli, nei limiti di quanto previsto dai rispettivi accordi contrattuali e dalle relative policy di trattamento dei dati.
12. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, ai sensi dell'Art. 32 del GDPR. Tali misure comprendono, a titolo esemplificativo e non esaustivo: cifratura dei dati in transito (TLS) e a riposo, controllo degli accessi basato su ruoli, hashing delle credenziali, audit log, backup periodici e procedure di incident response.
13. Modifiche alla presente informativa
Il Titolare si riserva il diritto di modificare o aggiornare la presente informativa in qualsiasi momento, al fine di adeguarla alla normativa vigente o a variazioni nelle modalità di trattamento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche sostanziali, il Titolare informerà gli Utenti registrati tramite comunicazione via e-mail o avviso in piattaforma.
Si invita l'Utente a consultare periodicamente la presente informativa.