Informativa
Privacy Policy
Ultimo aggiornamento: 15 maggio 2026
La presente informativa descrive come Cromea Studio (di seguito anche "noi" o "il Servizio") tratta i dati personali degli utenti che accedono al sito www.cromeastudio.com e utilizzano il servizio di analisi cromatica AI.
Il trattamento è effettuato in conformità al Regolamento (UE) 2016/679 (GDPR), al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 e — per gli utenti residenti fuori dall'Unione Europea — alle normative applicabili (CCPA per la California, UK GDPR, LGPD in Brasile, PIPEDA in Canada).
1. Titolare del trattamento
Antigravity
Email: info@antigravity.dev
Per qualsiasi richiesta relativa al trattamento dei tuoi dati personali puoi scriverci a privacy@antigravity.dev.
2. Tipologie di dati raccolti
Trattiamo le seguenti categorie di dati personali:
- Indirizzo email: necessario per autenticarti tramite codice OTP e ricevere comunicazioni di servizio (ricevuta acquisto, notifiche dossier pronto).
- Fotografia del viso: l'immagine che carichi per l'analisi cromatica costituisce un dato biometrico ai sensi dell'art. 9 GDPR (categoria particolare). Viene processata dall'intelligenza artificiale per estrarre informazioni su incarnato, capelli e occhi, e cancellata automaticamente entro 24 ore dall'upload.
- Risultato dell'analisi (dossier): la classificazione cromatica, la palette e i consigli generati. Sono conservati per consentirti di consultare e scaricare il tuo dossier finché mantieni l'account attivo.
- Dati di pagamento: gestiti direttamente da Stripe (vedi § 6). Noi non memorizziamo numeri di carta o credenziali bancarie — riceviamo solo l'ID transazione e l'esito.
- Dati tecnici: indirizzo IP, user agent, timestamp richieste, cookie di sessione necessari al funzionamento del login. Non utilizziamo cookie di profilazione o di terze parti per advertising.
3. Finalità e base giuridica
| Finalità | Base giuridica |
|---|---|
| Erogazione del servizio (analisi foto, generazione dossier) | Esecuzione di un contratto (art. 6.1.b GDPR) + consenso esplicito per i dati biometrici (art. 9.2.a GDPR) |
| Autenticazione e gestione account | Esecuzione di un contratto (art. 6.1.b) |
| Fatturazione e adempimenti fiscali | Obbligo legale (art. 6.1.c) |
| Sicurezza, anti-frode, log tecnici | Legittimo interesse (art. 6.1.f) — prevenzione abusi |
Il consenso per il trattamento della tua foto come dato biometrico viene raccolto al momento del caricamento, prima dell'invio all'AI. Puoi revocare il consenso in qualsiasi momento cancellando il tuo account o richiedendo la rimozione tramite email.
4. Periodo di conservazione
- Fotografia originale: cancellata automaticamente entro 24 ore dall'upload tramite job programmato. Nessuna copia backup viene conservata oltre questo periodo.
- Dossier generato e palette: conservati finché mantieni l'account attivo. Puoi cancellarli singolarmente dalla dashboard in qualsiasi momento.
- Account e email: cancellati su tua richiesta o dopo 24 mesi di inattività (con preavviso via email 30 giorni prima).
- Dati fiscali: conservati per 10 anni come da obbligo di legge italiana (art. 2220 c.c.).
- Log di sicurezza: conservati per 90 giorni e poi cancellati.
5. Modalità di trattamento e sicurezza
I dati sono trattati con strumenti informatici e custoditi su server protetti, con misure tecniche e organizzative idonee a garantire riservatezza, integrità e disponibilità (cifratura in transito tramite TLS 1.2+, cifratura at-rest dei file storage, autenticazione passwordless con codici OTP a tempo, Row-Level Security a livello database, headers di sicurezza HTTP). Non viene effettuato alcun trattamento manuale né decisione automatizzata che produca effetti giuridici significativi sull'utente (l'analisi cromatica ha natura puramente informativa).
6. Destinatari dei dati (sub-processor)
Per erogare il servizio ci avvaliamo dei seguenti fornitori (sub-responsabili del trattamento ex art. 28 GDPR):
| Fornitore | Ruolo | Sede |
|---|---|---|
| Supabase | Database, auth, storage foto/dossier | UE (Francoforte) |
| fal.ai | Analisi AI dell'immagine (Google Gemini Vision) | USA — SCC adottate |
| Vercel | Hosting applicazione web | USA — SCC adottate |
| Stripe | Elaborazione pagamenti, fatturazione, Stripe Tax | USA / Irlanda |
| Google Analytics 4 | Statistiche di utilizzo aggregate (solo con consenso esplicito) | USA — SCC adottate, IP anonimizzato |
I trasferimenti extra-UE avvengono sulla base delle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea con Decisione 2021/914. fal.ai e Vercel hanno firmato Data Processing Agreement che vietano l'uso dei dati per training di modelli AI. Google Analytics 4 viene attivato solo dopo il tuo consenso esplicito tramite il banner cookie (Google Consent Mode v2 con default 'denied').
7. I tuoi diritti
In qualità di interessato, hai diritto di:
- Accesso (art. 15 GDPR): ottenere copia dei tuoi dati.
- Rettifica (art. 16): correggere dati inesatti.
- Cancellazione / oblio (art. 17): eliminare account e tutti i dati associati.
- Limitazione (art. 18): chiedere la sospensione del trattamento.
- Portabilità (art. 20): ricevere i tuoi dati in formato strutturato (JSON).
- Opposizione (art. 21): opporti a trattamenti basati sul legittimo interesse.
- Revoca del consenso in qualsiasi momento, senza pregiudicare la liceità dei trattamenti precedenti.
- Reclamo presso il Garante per la protezione dei dati personali (garanteprivacy.it) o l'autorità del tuo Stato di residenza.
Per esercitare i tuoi diritti scrivici a privacy@antigravity.dev. Risponderemo entro 30 giorni.
8. Utenti residenti in California (CCPA / CPRA)
Se risiedi in California, hai diritti aggiuntivi ai sensi del California Consumer Privacy Act: conoscere le categorie di informazioni personali raccolte, chiederne la cancellazione, opporti alla vendita o condivisione (precisiamo: non vendiamo né condividiamo i tuoi dati personali).
9. Minori
Il Servizio è destinato a utenti di età non inferiore a 16 anni. Non raccogliamo intenzionalmente dati di minori; se veniamo a conoscenza di un account riconducibile a un minore, lo cancelliamo immediatamente.
10. Modifiche alla presente informativa
Potremo aggiornare questa informativa in caso di modifiche tecniche, normative o organizzative. Le modifiche sostanziali saranno comunicate via email con almeno 30 giorni di preavviso. La data dell'ultimo aggiornamento è indicata in alto.
Domande? Scrivici a privacy@antigravity.dev. Ti risponderemo entro 5 giorni lavorativi.