Versione 0.3 — DRAFT

PRIVACY POLICY

Data di entrata in vigore: 16 maggio 2026

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali raccolti tramite il sito bisc8.app e i servizi collegati (app.bisc8.app, system.bisc8.app, cdn.bisc8.app) è:

Hysen Drogu
Libero Professionista — P.IVA 13656721001
Via Rodolfo Verduzio 14, 00132 Roma (RM)
PEC: [email protetta]
Email: [email protetta]

2. Tipologie di Dati Raccolti

2.1 Account cliente B2B

Email, nome, ragione sociale, P.IVA
Domini configurati
Dati fatturazione (gestiti tramite Stripe)
Configurazioni banner cookie

2.2 Pseudonym visitatori siti clienti

Hash SHA-256 di IP + User-Agent + pepper segreto (NO IP diretto)
Timestamp consenso (UTC)
Scope consenso (jsonb: necessary / analytics / marketing)
Country code ISO-2 (no IP storage)
Lingua banner
Versione banner + policy attiva
Proof hash (SHA-256 banner DOM snapshot)

2.3 Telemetria scanner (per conto cliente B2B)

Hash SHA-256 troncati (16 char) di nome cookie + dominio host
Hash SHA-256 troncati di chiavi local/sessionStorage
Pattern host degli script di terze parti caricati
Slug del vendor identificato dal catalogo (es. ga4, stripe)
Session-hash anonimo casuale in memoria (NO persistenza sul dispositivo)
Country code ISO-2 + classe User-Agent (desktop/mobile/tablet/bot)
NO IP, NO valori cookie, NO contenuti utente, NO cross-domain sharing

2.4 Telemetria UX banner (per conto cliente B2B)

Tipo evento (banner.shown / accept_all / reject_all / granular / withdraw / dismissed_x / time_to_decide / widget.opened)
Session-hash anon (SHA-256 di uuid + epoch in memoria, non persistito)
Tempo di decisione in millisecondi (banner.shown → decisione)
Country code ISO-2 (lato server, non client)
Sampling: 10% sessioni piano Free / 100% piano Pro+ (per controllo costi storage)
Retention identica a consent_logs (Free 30gg / Pro 1y / Business+ 6y)
NO IP, NO valori cookie, NO referrer URL, NO contenuti utente

2.5 Cookie tecnici BISC8

bisc8_consent: first-party, durata 6 mesi — memorizza stato consenso visitatore
bisc8_session: tecnico, sessione — area autenticata clienti B2B

3. Finalità e Base Giuridica del Trattamento

Finalità

Base giuridica

Retention

Erogazione SaaS CMP

Art. 6.1.b — esecuzione contratto

Durata contratto + 10 anni (obblighi fiscali)

Consent receipt visitatori (per conto cliente)

DPA Art. 28 — Responsabile

Tier-aware: Free 6 mesi · Starter 3 anni · Pro/Business 6 anni · Enterprise custom (vedi Termini § 12)

Telemetria vendor scanner (per conto cliente)

Art. 6.1.f — interesse legittimo

Free 30gg / Pro 1 anno

Telemetria UX banner (per conto cliente)

Art. 6.1.f — interesse legittimo

Free 30gg / Pro 1y / Business+ 6 anni

Marketing newsletter / waitlist

Art. 6.1.a — consenso opt-in

Fino a revoca

Sicurezza + audit log

Art. 6.1.f — interesse legittimo

2 anni

FinalitàErogazione SaaS CMP

Base giuridicaArt. 6.1.b — esecuzione contratto

RetentionDurata contratto + 10 anni (obblighi fiscali)

FinalitàConsent receipt visitatori (per conto cliente)

Base giuridicaDPA Art. 28 — Responsabile

RetentionTier-aware: Free 6 mesi · Starter 3 anni · Pro/Business 6 anni · Enterprise custom (vedi Termini § 12)

FinalitàTelemetria vendor scanner (per conto cliente)

Base giuridicaArt. 6.1.f — interesse legittimo

RetentionFree 30gg / Pro 1 anno

FinalitàTelemetria UX banner (per conto cliente)

Base giuridicaArt. 6.1.f — interesse legittimo

RetentionFree 30gg / Pro 1y / Business+ 6 anni

FinalitàMarketing newsletter / waitlist

Base giuridicaArt. 6.1.a — consenso opt-in

RetentionFino a revoca

FinalitàSicurezza + audit log

Base giuridicaArt. 6.1.f — interesse legittimo

Retention2 anni

4. Destinatari e Sub-processor

BISC8 condivide dati con i sub-processor elencati nella lista pubblica, tra cui Vercel, Supabase, Stripe, Resend, Cloudflare. Modifiche notificate via email 30 giorni prima.

5. Trasferimenti Extra-UE

Database primario in EU (Supabase eu-west-1, Ireland). Vendor con server US (Vercel, Stripe) coperti da:

Data Privacy Framework (DPF) certified
Standard Contractual Clauses (SCC) Reg. UE 2021/914 controfirmate
Transfer Impact Assessment (TIA) disponibile su richiesta

6. Diritti dell'Interessato (Art. 15-22 GDPR)

Accesso ai propri dati
Rettifica
Cancellazione (diritto all'oblio)
Limitazione del trattamento
Portabilità
Opposizione
Revoca del consenso in qualsiasi momento

Per esercitare i tuoi diritti scrivi a [email protetta]. Reclamo al Garante: www.gpdp.it.

7. Misure di Sicurezza (Art. 32)

TLS 1.3 in transit, AES-256 at rest (Supabase managed)
Pseudonimizzazione SHA-256 + pepper segreto (rotazione annuale)
Row-Level Security (RLS) Postgres su tutte le tabelle dati
MFA TOTP obbligatorio su accessi privilegiati (super-admin)
Rate limit IP-hash su endpoint pubblici (anti-DDoS)
Audit log immutabile per accessi privilegiati (system_access_log)
Backup PITR rolling 7 giorni
Code review obbligatoria + dependency scanning

8. Modifiche alla Privacy Policy e continuità del trattamento

Questa policy è versionata. Cambiamenti sostanziali verranno notificati via email almeno 30 giorni prima dell'efficacia. La versione storica resta consultabile come prova legale.

Continuità del trattamento in caso di riorganizzazione societaria. In conformità all'art. 13 e considerando 73 GDPR, qualora il Titolare del trattamento sia sostituito a seguito di operazione straordinaria (conferimento di ramo d'azienda ex art. 2555 cod. civ. e 176 TUIR, fusione, scissione, trasformazione, cessione d'azienda) il nuovo Titolare subentrerà integralmente nelle medesime finalità, basi giuridiche, retention e misure di sicurezza descritte nella presente policy. La sostituzione non comporta modifica delle finalità del trattamento né necessità di rinnovo del consenso, ma viene comunicata all'Interessato via email con almeno 30 giorni di anticipo, unitamente all'aggiornamento dei riferimenti del nuovo Titolare. L'Interessato conserva in ogni momento i diritti di cui agli artt. 15-22 GDPR, incluso il diritto di opposizione e revoca del consenso (ove applicabile) nei confronti del nuovo Titolare.