PRIVACY POLICY

Il titolare del trattamento dei dati è Prismal Group.

Per qualsiasi domanda relativa alla privacy puoi contattarci all'indirizzo email: info@prismalgroup.it

Raccogliamo i seguenti tipi di dati:

• ✓Dati identificativi (nome, cognome, email, telefono, azienda) forniti tramite il modulo di contatto
• ✓Dati di navigazione (indirizzo IP, tipo di browser, pagine visitate, paese di provenienza) raccolti automaticamente tramite Vercel Analytics
• ✓Cookie tecnici necessari al funzionamento del sito. I cookie analitici vengono attivati solo dopo il tuo esplicito consenso tramite il banner cookie
• ✓Indirizzo IP registrato temporaneamente al momento dell'invio del modulo di contatto, esclusivamente per finalità di sicurezza e prevenzione di abusi (rate limiting)
• ✓Preferenze di consenso ai cookie memorizzate localmente nel browser (localStorage) per ricordare la tua scelta sul banner cookie

Per gli utenti che dispongono di un account nell'Area Privata (sezione riservata accessibile solo previa registrazione effettuata dal nostro team), trattiamo dati aggiuntivi rispetto a quelli del modulo di contatto:

• ✓Credenziali di accesso: email e password (memorizzata esclusivamente in forma cifrata tramite Supabase Auth, mai accessibile in chiaro)
• ✓Username e livello di accesso (Cliente o Amministrazione)
• ✓Data di creazione dell'account e data dell'ultimo accesso, registrate per finalità di sicurezza e gestione del servizio
• ✓Progetti associati all'utente (nome, link, stato, utente assegnato), gestiti dall'amministrazione
• ✓Documenti PDF caricati dall'amministrazione per la condivisione con il cliente, conservati in storage privato e accessibili esclusivamente tramite link temporanei firmati
• ✓Token di sessione (JWT) memorizzato localmente nel browser (localStorage, chiave "prismal-auth") per mantenere l'accesso senza dover reinserire le credenziali ad ogni navigazione
• ✓Comunicazioni inviate dal team al cliente: titolo, contenuto, data, mittente e tipo (manuale o automatica). Le comunicazioni automatiche vengono generate dal sistema in occasione di eventi rilevanti, come il cambio di stato di un progetto
• ✓Messaggi della chat tra cliente e team: testo dei messaggi, mittente, data e ora, stato letto/non letto. Per prevenire abusi viene applicato un rate limit di 15 messaggi al minuto, con blocchi temporanei progressivi (1 minuto, 1 ora, 8 ore) tracciati per 24 ore. L'amministrazione può bloccare, archiviare o eliminare una conversazione
• ✓Codici temporanei di reset password: hash crittografico (SHA-256) del codice OTP a 6 cifre inviato via email, token di reset opaco generato solo se la verifica va a buon fine, conteggio dei tentativi falliti e timestamp di scadenza. I codici scadono dopo pochi minuti e la riga viene cancellata al completamento del reset

Finalità: erogazione del servizio di Area Privata (autenticazione, gestione dei progetti, condivisione documenti, comunicazioni dirette e chat con il team Prismal Group, recupero password tramite codice di verifica).

Base giuridica: esecuzione di un contratto di cui l'interessato è parte (art. 6, par. 1, lett. b GDPR) e legittimo interesse del titolare nella sicurezza dell'accesso (registrazione dell'ultimo login, art. 6, par. 1, lett. f GDPR).

Le password vengono memorizzate esclusivamente in forma cifrata (algoritmo bcrypt) tramite Supabase Auth e non sono mai accessibili in chiaro nemmeno dall'amministrazione. Le sessioni utilizzano token JWT firmati. I documenti caricati sono conservati in storage privato accessibile solo all'utente proprietario e all'amministrazione, tramite URL firmati con scadenza temporale. L'accesso ai dati di comunicazioni e chat è regolato da policy di sicurezza a livello di database (Row Level Security): ogni utente vede esclusivamente i propri messaggi e le proprie comunicazioni. I codici di reset password vengono salvati solo in forma hashata e l'invio email avviene tramite il servizio Resend.

L'account viene creato esclusivamente dall'amministrazione su richiesta e a seguito di un accordo contrattuale. L'interessato può in qualsiasi momento richiedere la modifica dei propri dati o la cancellazione dell'account scrivendo a info@prismalgroup.it.

I tuoi dati vengono trattati per le seguenti finalità:

• ✓Rispondere alle richieste inviate tramite il modulo di contatto
• ✓Migliorare l'esperienza di navigazione sul nostro sito
• ✓Adempiere ad obblighi di legge
• ✓Analisi statistiche anonime sull'utilizzo del sito

I tuoi dati sono trattati nel rispetto dell'art. 6 del GDPR, sulle seguenti basi giuridiche:

• ✓Consenso esplicito dell'interessato (art. 6, par. 1, lett. a) — per l'invio della comunicazione tramite il modulo di contatto e per i cookie analitici
• ✓Esecuzione di misure precontrattuali su richiesta dell'interessato (art. 6, par. 1, lett. b) — per rispondere a richieste di preventivo o informazioni
• ✓Legittimo interesse del titolare (art. 6, par. 1, lett. f) — per la sicurezza del sito, rate limiting e log temporaneo dell'indirizzo IP a fini di prevenzione di abusi
• ✓Adempimento di obblighi di legge (art. 6, par. 1, lett. c)

Adottiamo misure di sicurezza tecniche e organizzative adeguate per proteggere i tuoi dati personali da accessi non autorizzati, perdita o distruzione.

Il sito utilizza il protocollo HTTPS per garantire la crittografia dei dati trasmessi tra il tuo browser e i nostri server.

Per il funzionamento del sito ci avvaliamo dei seguenti servizi esterni:

• ✓Vercel — hosting del sito e serverless functions. Vercel può raccogliere dati di navigazione (indirizzo IP, geolocalizzazione approssimativa) per garantire il funzionamento del servizio. I server si trovano principalmente negli USA. Privacy Policy di Vercel
• ✓Vercel Analytics — servizio di analisi del traffico web. Viene attivato solo dopo il tuo esplicito consenso. Raccoglie dati anonimi e aggregati sulle visite (pagine visitate, paese, dispositivo) senza utilizzare cookie di profilazione. Puoi revocare il consenso in qualsiasi momento cancellando i dati del sito dal browser.
• ✓Resend — servizio per l'invio di email transazionali. I dati inseriti nel modulo di contatto (nome, cognome, email, telefono, azienda, tipo progetto, messaggio) vengono trasmessi a Resend esclusivamente per l'invio della email di notifica. Privacy Policy di Resend
• ✓Supabase — database, autenticazione e storage. Supabase ospita: (a) le richieste inviate tramite il modulo di contatto; (b) gli account utente dell'Area Privata (gestiti tramite Supabase Auth, con password memorizzate esclusivamente in forma cifrata/hash); (c) i progetti associati agli utenti; (d) i documenti PDF condivisi nell'Area Privata, conservati in storage privato accessibile solo tramite link temporanei firmati. I dati sono archiviati su infrastruttura Supabase, con server situati nella regione selezionata per il progetto (potrebbero trovarsi all'interno o all'esterno dell'Unione Europea). Privacy Policy di Supabase
• ✓Google Fonts — servizio di caricamento del font Inter. Al caricamento del sito il browser effettua una richiesta ai server di Google, che può registrare l'indirizzo IP in base alla propria policy. Privacy Policy di Google

I dati potrebbero essere trasferiti al di fuori dell'Unione Europea (in particolare negli USA). In tal caso, il trasferimento avviene nel rispetto delle garanzie previste dal GDPR, incluse le Clausole Contrattuali Standard approvate dalla Commissione Europea.

I dati personali vengono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, e comunque non oltre quanto previsto dalla normativa vigente.

I dati raccolti tramite il modulo di contatto vengono conservati per un massimo di 24 mesi dalla richiesta. I dati relativi agli account dell'Area Privata e i documenti caricati sono conservati per la durata del rapporto contrattuale e cancellati su richiesta dell'interessato o al termine del rapporto.

Ai sensi del GDPR (Regolamento UE 2016/679), hai diritto a:

• ✓Accedere ai tuoi dati personali
• ✓Richiedere la rettifica o la cancellazione dei tuoi dati
• ✓Opporti al trattamento dei tuoi dati
• ✓Richiedere la portabilità dei dati
• ✓Revocare il consenso in qualsiasi momento
• ✓Proporre reclamo all'Autorità di controllo competente

Per esercitare i tuoi diritti, scrivi a: info@prismalgroup.it

In Italia l'Autorità di controllo è il Garante per la protezione dei dati personali (www.garanteprivacy.it). Negli altri Stati dell'Unione Europea, l'Autorità nazionale competente in materia di protezione dei dati.