.cloud
.cloud
Privacy Policy
Ultimo aggiornamento: 28 febbraio 2026
1. Titolare del Trattamento
SAVE THE BRAIN
Strada Provinciale 40 snc — 86044 Colletorto (CB), Italia
P.IVA: IT01830350706
Tel: +39 351 918 0973
Email privacy: privacy@carthub.cloud
La presente informativa è resa ai sensi degli Artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e si applica a tutti gli utenti che visitano il sito carthub.cloud, ai Merchant che utilizzano il servizio CartHub e, per quanto di competenza, agli utenti finali dei negozi che integrano il plugin CartHub.
2. Ruolo di CartHub nel trattamento dei dati
CartHub opera con due ruoli distinti a seconda del contesto:
Dati dei visitatori e dei Merchant
CartHub agisce come Titolare del Trattamento (Data Controller) per i dati personali raccolti direttamente tramite il sito carthub.cloud: dati di navigazione, dati forniti in fase di registrazione e acquisto del servizio, dati di fatturazione e pagamento.
Dati degli utenti finali dei Merchant
CartHub agisce come Responsabile del Trattamento (Data Processor, Art. 28 GDPR) per i dati personali degli acquirenti dei negozi che integrano il plugin. Il Merchant resta Titolare di tali dati e CartHub li tratta esclusivamente secondo le sue istruzioni documentate, regolate dal DPA.
3. Dati personali raccolti e categorie
A. Dati raccolti come Titolare (visitatori e Merchant di carthub.cloud)
| Categoria | Dati specifici |
|---|---|
| Identificativi | Nome, cognome, indirizzo email, ragione sociale, P.IVA, dominio del negozio |
| Fatturazione | Dati di pagamento (gestiti da Stripe), indirizzo di fatturazione, storico abbonamenti |
| Tecnici | Indirizzo IP, tipo di browser, sistema operativo, pagine visitate, data e ora di accesso |
B. Dati trattati come Responsabile (utenti finali dei Merchant)
| Categoria | Dati specifici |
|---|---|
| Identificativi | Nome, cognome, indirizzo email |
| Commerciali | Prodotti nel carrello, quantità, prezzi, valuta, URL e immagini dei prodotti, categorie |
| Tecnici | Lingua di navigazione, identificativo di sessione anonimo, timestamp |
| Comportamentali | Apertura/click email, stato opt-out/unsubscribe |
CartHub non tratta dati particolari (Art. 9 GDPR) né dati relativi a minori in modo consapevole.
4. Basi giuridiche e finalità del trattamento
| Finalità | Base giuridica | Riferimento |
|---|---|---|
| Erogazione del servizio CartHub ai Merchant (registrazione, attivazione plugin, supporto tecnico) | Contratto | Art. 6.1.b GDPR |
| Fatturazione, gestione pagamenti e adempimenti fiscali | Obbligo legale | Art. 6.1.c GDPR |
| Recupero carrelli abbandonati: invio email di promemoria agli utenti finali per conto del Merchant | Legittimo interesse | Art. 6.1.f GDPR |
| Monitoraggio performance email (aperture, click) e generazione statistiche di recupero per il Merchant | Legittimo interesse | Art. 6.1.f GDPR |
| Analisi del contenuto del carrello tramite intelligenza artificiale per la personalizzazione delle comunicazioni | Legittimo interesse | Art. 6.1.f GDPR |
| Servizio Price Alert: notifica variazione prezzo su richiesta dell'utente finale | Consenso | Art. 6.1.a GDPR |
| Comunicazioni informative e aggiornamenti sul servizio ai Merchant | Legittimo interesse | Art. 6.1.f GDPR |
| Miglioramento del servizio, analisi aggregate e anonime delle performance | Legittimo interesse | Art. 6.1.f GDPR |
Per i trattamenti basati su legittimo interesse, il Titolare ha effettuato un bilanciamento ai sensi del Considerando 47 GDPR e, ove opportuno, redatto una Valutazione di Legittimo Interesse (LIA). L'interessato può opporsi in qualsiasi momento (v. Sezione 8).
5. Utilizzo dell'Intelligenza Artificiale
CartHub utilizza tecnologie di intelligenza artificiale (fornite da OpenAI e Anthropic) per analizzare il contenuto del carrello e personalizzare automaticamente l'oggetto e il corpo delle email di recupero inviate agli utenti finali.
- Nessun dato personale identificativo viene inviato ai provider AI. I dati trasmessi si limitano a nomi dei prodotti, prezzi, categorie e lingua — senza email, nomi o indirizzi dell'utente.
- I provider AI operano come sub-responsabili (Art. 28 GDPR) e sono vincolati contrattualmente a non conservare né riutilizzare i dati per scopi propri.
- Non vengono prese decisioni automatizzate con effetti giuridici o significativi sull'interessato ai sensi dell'Art. 22 GDPR. L'AI si limita alla generazione di contenuti testuali.
6. Destinatari e sub-responsabili del trattamento
I dati personali possono essere comunicati ai seguenti soggetti terzi, che operano in qualità di sub-responsabili (Art. 28 GDPR) o responsabili autonomi del trattamento, ciascuno vincolato da apposito accordo contrattuale:
| Sub-responsabile | Finalità | Sede | Garanzie |
|---|---|---|---|
| Hetzner Online GmbH | Hosting server e database | Germania (UE) | SEE |
| MailerSend Mailgun Technologies |
Invio email transazionali e di recupero | UE / USA | DPF |
| OpenAI | Analisi carrello e personalizzazione contenuti AI | USA | DPF + SCC |
| Anthropic | Analisi carrello e personalizzazione contenuti AI | USA | DPF + SCC |
| Stripe | Gestione pagamenti e abbonamenti | USA / Irlanda | DPF |
Legenda garanzie: SEE = Server nello Spazio Economico Europeo · DPF = EU-U.S. Data Privacy Framework · SCC = Standard Contractual Clauses (Clausole Contrattuali Standard, Decisione 2021/914).
Eventuali modifiche alla lista dei sub-responsabili saranno comunicate ai Merchant con un preavviso di 30 giorni. I dati non sono ceduti, venduti o condivisi con soggetti terzi per finalità di marketing indipendente.
7. Trasferimenti di dati extra-UE
Alcuni sub-responsabili (MailerSend, OpenAI, Anthropic, Stripe) hanno sede negli Stati Uniti. I trasferimenti di dati verso gli USA sono legittimati da:
- Decisione di adeguatezza della Commissione Europea relativa all'EU-U.S. Data Privacy Framework (DPF) del 10 luglio 2023, ove il sub-responsabile sia certificato DPF
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione di esecuzione 2021/914, integrate ove necessario da misure supplementari (cifratura, minimizzazione, pseudonimizzazione)
L'infrastruttura server principale (Hetzner) è ubicata in Germania e i dati sono conservati all'interno dello Spazio Economico Europeo.
8. Periodo di conservazione dei dati
| Tipo di dato | Periodo di conservazione |
|---|---|
| Dati carrelli abbandonati (utenti finali) | Max 30 giorni dall'abbandono, poi cancellazione/anonimizzazione automatica |
| Dati Price Alert (utenti finali) | Max 30 giorni dalla richiesta, salvo acquisto o variazione di prezzo |
| Preferenze opt-out / suppression list | Conservati a tempo indeterminato per garantire il rispetto della volontà dell'utente |
| Dati account Merchant | Per la durata del rapporto contrattuale + 30 giorni dopo la cessazione |
| Dati di fatturazione | 10 anni dalla data dell'operazione (Art. 2220 c.c. e normativa fiscale italiana) |
| Log di sicurezza e audit trail | Max 12 mesi, in forma pseudonimizzata ove possibile |
9. Misure di sicurezza
In conformità all'Art. 32 GDPR, CartHub adotta misure tecniche e organizzative adeguate al rischio, tra cui:
- Crittografia TLS/SSL per tutti i dati in transito
- Autenticazione basata su API key univoche e token JWT con scadenza
- Principio del minimo privilegio: accesso ai dati limitato al solo personale autorizzato
- Backup automatici giornalieri con crittografia
- Log di accesso e audit trail per tracciabilità delle operazioni
- Cancellazione e anonimizzazione automatica dei dati secondo le retention policy configurate
- Procedura di gestione data breach con notifica al Titolare/Merchant entro 48 ore dalla scoperta
10. Diritti dell'interessato
In conformità agli Artt. 15-22 del GDPR, l'interessato può esercitare i seguenti diritti:
Ottenere conferma del trattamento e copia dei dati (Art. 15)
Correggere dati inesatti o incompleti (Art. 16)
Richiedere la cancellazione dei propri dati (Art. 17)
Limitare il trattamento in casi specifici (Art. 18)
Ricevere i dati in formato strutturato e leggibile (Art. 20)
Opporsi al trattamento basato su legittimo interesse (Art. 21)
Per gli utenti finali dei negozi WooCommerce: il link di disiscrizione (opt-out) è presente in ogni email di recupero e ha effetto immediato. Per richieste più ampie (accesso, cancellazione, portabilità) è possibile contattare direttamente il Merchant (Titolare del trattamento) oppure scrivere a privacy@carthub.cloud; risponderemo entro 30 giorni dalla ricezione, come previsto dall'Art. 12.3 GDPR.
11. Cookie e tecnologie di tracciamento
Il sito carthub.cloud utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del sito e della dashboard Merchant (autenticazione, sessione, preferenze). Non vengono utilizzati cookie di profilazione o di terze parti a fini pubblicitari.
Il plugin CartHub installato sui siti dei Merchant non installa cookie propri sul browser degli utenti finali.
12. Violazione dei dati (Data Breach)
In caso di violazione dei dati personali (Art. 33 GDPR), CartHub si impegna a:
- Notificare il Merchant (Titolare) entro 48 ore dalla scoperta della violazione
- Fornire tutte le informazioni necessarie per consentire al Merchant di adempiere agli obblighi di notifica al Garante e di comunicazione agli interessati
- Adottare tempestivamente le misure correttive necessarie a mitigare gli effetti della violazione
13. Trattamento dei dati di minori
CartHub non è destinato a minori di 16 anni e non raccoglie consapevolmente dati personali di soggetti di età inferiore. Il servizio opera nell'ambito di transazioni e-commerce che presuppongono la capacità giuridica dell'acquirente. Qualora il Titolare venga a conoscenza di un trattamento involontario di dati di un minore, provvederà alla loro immediata cancellazione.
14. Modifiche alla presente informativa
Il Titolare si riserva il diritto di modificare la presente Privacy Policy in qualsiasi momento. In caso di modifiche sostanziali, i Merchant registrati saranno informati via email con un preavviso di almeno 15 giorni. La versione aggiornata sarà sempre disponibile su questa pagina con indicazione della data di ultimo aggiornamento.
15. Contatti e reclami
Richieste Privacy
privacy@carthub.cloud
giuseppesocci@gmail.com
Tel: +39 351 918 0973
Rispondiamo entro 30 giorni (Art. 12.3 GDPR)
Reclamo all'Autorità
Ai sensi dell'Art. 77 GDPR, hai il diritto di proporre reclamo al:
Garante per la Protezione dei Dati Personali
www.garanteprivacy.it
Piazza Venezia 11 — 00187 Roma