Privacy Policy

(informativa ex art. 13 del Regolamento UE n. 679/2016)

La presente informativa descrive il trattamento dei Suoi dati personali, ed è resa ai sensi dell'articolo 13 del Regolamento UE 679/2016 (di seguito "GDPR") e della normativa nazionale in tema di privacy e protezione dei dati personali applicabile.

0. Identità e dati di contatto del Titolare del trattamento

Il Titolare del trattamento è Mammarella Alessandro, nato a Pescara il [●], (di seguito il "Titolare").

Nel caso in cui il Titolare si avvalga di responsabili o sub-responsabili del trattamento ai sensi dell'art. 28 GDPR, l'elenco aggiornato dei responsabili e degli incaricati al trattamento è custodito presso la sede legale del Titolare.

1. Quali tipologie di dati personali trattiamo

Le tipologie di dati personali che vengono raccolte dipendono dalle finalità per cui sono raccolti.

In generale, possono essere raccolte direttamente da Lei oppure generati automaticamente in relazione all'utilizzo del sito web e della piattaforma GeoSuite, le seguenti tipologie di dati personali:

Attraverso il sito www.trygeosuite.it:

  • Dati identificativi e di contatto (quali, a titolo esemplificativo e non esaustivo: nome, nome della società, url, data e luogo di nascita, numero telefonico, indirizzo di posta elettronica, conferma in merito alla maggiore età);
  • dati di geolocalizzazione;
  • dati d'uso, di navigazione, funzionali, di sessione, statistici, di profilazione, ivi compresi l'identificativo del dispositivo o l'indirizzo IP dell'utente, il momento in cui l'utente visita il sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente;
  • dati relativi alla compilazione di form e/o richieste e/o sondaggi o altre tipologie di richieste indirizzate alla clientela per attività di customer discovery;

Tutti i trattamenti sopra descritti sono effettuati nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e limitazione delle finalità, come previsto dall'art. 5 del GDPR.

in seguito "Dati Personali".

2. Perché trattiamo i Suoi dati personali e su quali basi giuridiche

Il trattamento dei Suoi dati personali da parte del Titolare avviene:

A) senza il Suo consenso espresso (art. 6 lett. b) – f) GDPR), per le seguenti finalità:

  • attivare e gestire il profilo-utente nella piattaforma di cui al sito web www.geosuite.it;
  • gestire tutte le attività connesse e strumentali alla connessione tecnica tra l'e-commerce di terzi e la piattaforma GeoSuite, ivi incluse – a titolo esemplificativo e non esaustivo:
    • la gestione centralizzata delle richieste di reso inoltrate dai clienti finali, con relativa tracciatura, automazione delle comunicazioni e interfacciamento con i gestionali dell'e-commerce integrato;
    • l'erogazione di un servizio di assistenza clienti automatizzata mediante sistemi di intelligenza artificiale, con elaborazione delle richieste pervenute tramite appositi form, chatbot e altri strumenti messi a disposizione della piattaforma, e relativa generazione delle risposte coerenti con le policy dell'e-commerce aderente;
    • la fornitura di una dashboard di analytics ad uso esclusivo dell'utente registrato, contenente indicatori di performance (KPI), metriche operative e dati aggregati relativi al comportamento dei clienti finali, all'efficienza dei flussi post-vendita e alla qualità del servizio reso;
    • nonché, in generale, la ricezione, la gestione e l'elaborazione delle informazioni necessarie al corretto svolgimento delle attività sopra indicate, inclusi gli adempimenti contabili, fiscali e legali connessi alla fruizione dei servizi della piattaforma.
  • utilizzare sistemi di intelligenza artificiale e processi decisionali automatizzati per ottimizzare l'erogazione dei servizi, inclusi:
    • l'analisi e la classificazione automatica delle richieste degli utenti;
    • la generazione automatica di risposte (es. tramite chatbot o e-mail automatizzate);
    • il trattamento automatizzato delle richieste di reso o assistenza.

    Si ricorda che, in conformità all'art. 22 del GDPR, l'interessato non sarà soggetto a decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o analogamente significativi, salvo nei casi consentiti dalla normativa. In tali ipotesi, l'interessato potrà comunque:

    • ottenere l'intervento umano da parte del Titolare;
    • esprimere la propria opinione;
    • contestare la decisione automatizzata.

    Tali diritti possono essere esercitati in qualsiasi momento scrivendo all'indirizzo: [email protected];

  • adempiere agli obblighi precontrattuali, contrattuali e fiscali derivanti da rapporti in cui l'interessato è parte (a titolo esemplificativo, ai fini dell'erogazione dei servizi riservati agli utenti registrati);
  • adempiere agli obblighi previsti dalla legge, da un regolamento, dalla normativa comunitaria o da un ordine dell'Autorità;
  • perseguire un legittimo interesse del Titolare o di terzi, a condizione che non prevalgano interessi o diritti e libertà fondamentali dell'interessato che richiedono la protezione dei Dati Personali (es. il diritto di difesa in giudizio del Titolare);

B) Solo previo specifico e distinto consenso (art. 6 lett. a) e art. 7 GDPR), per le seguenti finalità di marketing:

  • inviare via e-mail, posta e/o sms push notification e/o contatti telefonici, newsletter, comunicazioni commerciali e/o materiale pubblicitario e/o comunicazioni promozionali personalizzate e/o aggiornamenti sui prodotti offerti dal Titolare e rilevazione del grado di soddisfazione sulla qualità dei servizi.

C) Solo previo Suo specifico e distinto consenso (art. 6 lett. a) e art. 7 GDPR), per le seguenti finalità di profilazione:

  • inviare comunicazioni pubblicitarie, offerte e promozioni, via e-mail, posta e/o sms e/o contatti telefonici, che siano coerenti con il profilo dell'interessato e con le sue abitudini.

La profilazione permetterà al Titolare di personalizzare l'offerta dei prodotti e servizi offerti agli Utenti. A tal fine, il Titolare valuterà il tipo ed il numero di richieste di informazioni presentate, anche attraverso il Sito, gli accessi alla piattaforma, le operazioni effettuate dagli utenti registrati e le informazioni relative ai clienti finali degli e-commerce collegati.

Qualora Lei abbia negato il Suo consenso non sarà possibile svolgere le predette attività sub B) e C) e qualora Lei abbia espresso il consenso alle attività di trattamento sub B) e C) avrà in ogni caso il diritto di revocare, in ogni momento, il consenso dato. Il trattamento dei Suoi dati personali è limitato alle finalità sopra indicate e non viene effettuato per scopi ulteriori. Qualora si volesse utilizzare i dati per finalità diverse, il Titolare provvederà a informare l'utente preventivamente e, se necessario, a raccogliere il consenso.

2-bis. Shopify – disinstallazione e diritti privacy

Eventi obbligatori Shopify (GDPR). L'app è integrata con i webhook obbligatori customers/data_request, customers/redact e shop/redact. A seguito della disinstallazione dell'app da parte di un merchant, riceviamo la notifica shop/redact ed eseguiamo la cancellazione dei dati personali dei clienti riferiti a quello shop entro i tempi e le modalità previste, fatti salvi eventuali obblighi di legge. Gestiamo inoltre le richieste di accesso e cancellazione inoltrate dal merchant per conto dei clienti tramite i webhook customers/data_request e customers/redact.

3. Per quanto tempo conserviamo e trattiamo i Suoi dati personali

I Suoi Dati Personali saranno trattati dal Titolare per il periodo di tempo strettamente necessario al perseguimento delle finalità del trattamento di cui al precedente articolo 2, nel rispetto dei principi di limitazione della conservazione e minimizzazione dei dati di cui all'art. 5, par. 1, lett. c) ed e) del Regolamento.

Successivamente, i dati saranno conservati esclusivamente per adempiere ad obblighi di legge, per finalità amministrative e contabili, o per l'eventuale difesa di un diritto in sede giudiziaria o stragiudiziale, comunque entro e non oltre i termini stabiliti dalla normativa vigente in materia di prescrizione dei diritti.

In tale prospettiva, il Titolare ha definito specifici criteri di conservazione in relazione alle diverse categorie di dati trattati. In particolare, i dati anagrafici e identificativi relativi ai clienti finali degli e-commerce integrati, nonché i dati connessi agli ordini e alle transazioni commerciali, sono conservati per un periodo massimo di 24 (ventiquattro) mesi dalla raccolta, salvo che sussistano ulteriori obblighi di legge che ne impongano la conservazione per un termine superiore.

I contenuti delle conversazioni e dei messaggi scambiati tramite i canali integrati nella piattaforma (quali form di contatto, e-mail, WhatsApp o sistemi equivalenti) sono conservati per un periodo non superiore a 12 (dodici) mesi, decorso il quale saranno oggetto di cancellazione automatica o anonimizzazione irreversibile.

I ticket di assistenza, i log tecnici e i dati di audit relativi alle operazioni svolte dagli utenti sulla piattaforma sono conservati per un periodo massimo di 36 (trentasei) mesi, funzionale alla verifica della correttezza delle operazioni, al miglioramento del servizio e alla tutela in caso di contestazioni.

I Dati Personali trattati per finalità di marketing, ai sensi della lettera B) del precedente articolo 2, saranno conservati per un periodo massimo di 24 (ventiquattro) mesi dalla prestazione del consenso, mentre i dati trattati per finalità di profilazione, ai sensi della lettera C), saranno conservati per un periodo non superiore a 12 (dodici) mesi.

In ogni caso, nessun dato personale sarà conservato per un periodo superiore a 10 (dieci) anni, salvo che la legge o un ordine dell'Autorità impongano un termine più lungo o che l'interessato eserciti un diritto che comporti la necessità di conservazione ulteriore (ad esempio, in caso di richiesta di accesso, opposizione o limitazione del trattamento).

4. Come trattiamo i Suoi dati personali

I Dati Personali sono sottoposti a trattamento sia cartaceo che elettronico e/o automatizzato per il tempo necessario a conseguire gli scopi per cui sono raccolti da parte del Titolare o da parte di soggetti debitamente autorizzati e/o incaricati all'assolvimento di tali compiti, costantemente identificati e/o nominati, opportunamente istruiti e resi edotti dai vincoli imposti dalla legge, nonché mediante l'impiego di misure di sicurezza atte a garantire la tutela della riservatezza e ad evitare i rischi di perdita o distruzione, di accessi non autorizzati, di trattamenti non consentiti o non conformi alle finalità di cui sopra. In particolare, i dati personali trattati tramite la piattaforma Nexora One sono protetti mediante tecnologie di sicurezza avanzate, tra cui:

  • crittografia a livello di campo (field-level) per i dati sensibili, quali indirizzi e-mail, numeri di telefono e contenuti dei messaggi;
  • utilizzo cifratura in transito (TLS 1.2+) e a riposo (con gestioni chiavi tramite KMS);

Tali misure sono adottate in conformità all'art. 32 del GDPR, e sono finalizzate a ridurre al minimo i rischi di accesso non autorizzato, alterazione, perdita o distruzione dei dati personali trattati.

Inoltre, la piattaforma Nexora One applica una strategia di minimizzazione dei dati (data minimization by design), nel rispetto dell'art. 5, par. 1, lett. c) del GDPR. In particolare, l'acquisizione dei dati provenienti dai sistemi e-commerce integrati avviene in modalità "lazy loading", ovvero solo al momento della richiesta dell'utente e limitata esclusivamente alle informazioni necessarie per la specifica attività in corso (es. gestione di un reso, visualizzazione di un ordine o supporto tramite assistenza).

5. A chi possiamo comunicare i Suoi dati personali

I Suoi dati personali potranno essere resi accessibili o comunicati a terzi nell'ambito delle seguenti categorie:

  • dipendenti e collaboratori del Titolare, nella loro qualità di addetti autorizzati al trattamento, nell'ambito delle rispettive mansioni e in conformità alle istruzioni ricevute. Tali individui sono comunque soggetti agli obblighi di confidenzialità e riservatezza;
  • terzi soggetti che svolgono attività in outsourcing per conto del Titolare la cui attività sia connessa, strumentale o di supporto a quella del Titolare (ad es. software gestionali, provider di servizi di pagamento, piattaforme SaaS collegate, fornitori di server). Tra questi, in particolare, figura Microsoft Ireland Operations Ltd., in qualità di fornitore del servizio Azure OpenAI, utilizzato per l'elaborazione delle richieste e l'automazione delle risposte tramite modelli linguistici avanzati. I dati vengono elaborati e conservati in data center situati nell'Unione Europea (data residency EU), conformemente al Data Protection Addendum (DPA) disponibile sul sito ufficiale Microsoft. Il Titolare ha stipulato con Microsoft un contratto conforme all'art. 28 GDPR, comprensivo delle Clausole Contrattuali Standard (SCC) previste dall'art. 46 del GDPR per eventuali trasferimenti extra-UE.
  • Google LLC e Google Ireland Ltd., in qualità di fornitori delle API di Google Business Profile e del servizio di autenticazione OAuth 2.0, utilizzati esclusivamente quando l'Utente abilita volontariamente l'integrazione "Recensioni Google" all'interno della piattaforma. L'accesso è limitato alle schede Business espressamente selezionate dall'Utente e ai dati strettamente funzionali alla fruizione della funzionalità. Per il dettaglio degli scope, dei dati trattati e delle limitazioni d'uso si rinvia all'art. 7-bis della presente informativa.
  • tutti quei soggetti pubblici e/o privati, persone fisiche e/o giuridiche (quali a titolo esemplificativo, studi di consulenza legale, amministrativa e fiscale, fondi o casse anche private di previdenza e assistenza, Uffici Giudiziari, Camere di Commercio), qualora la comunicazione risulti necessaria o funzionale al corretto adempimento degli obblighi contrattuali assunti, nonché degli obblighi derivanti dalla legge;
  • tutti quei soggetti (ivi incluse le Pubbliche Autorità) che hanno accesso ai Dati Personali in forza di provvedimenti normativi o amministrativi;

In ogni caso i Suoi dati personali non saranno oggetto di diffusione.

6. Trasferimento dei dati personali al di fuori dell'UE

La gestione e la conservazione dei Suoi Dati Personali avverrà, di regola, all'interno del territorio dell'Unione Europea.

Tuttavia, per lo svolgimento delle attività connesse all'erogazione dei servizi descritti nella presente informativa, il Titolare potrà trasferire i Dati Personali verso soggetti terzi, stabiliti in Paesi situati al di fuori dello Spazio Economico Europeo (c.d. "Paesi Terzi"), in qualità di Titolari autonomi o Responsabili esterni del trattamento, qualora ciò risulti necessario per finalità strettamente legate alla fornitura tecnica e funzionale dei servizi.

Tali trasferimenti avvengono nel pieno rispetto del Capo V del Regolamento (UE) 2016/679 (GDPR). In particolare:

  • qualora il trasferimento avvenga verso Paesi Terzi per i quali esista una decisione di adeguatezza della Commissione Europea ai sensi dell'art. 45 GDPR, i dati saranno trasferiti in sicurezza sulla base di tale decisione;
  • in assenza di una decisione di adeguatezza, il Titolare assicura che i trasferimenti avvengano mediante l'adozione di garanzie adeguate ai sensi dell'art. 46 GDPR, tra cui la sottoscrizione delle Clausole Contrattuali Standard ("SCC") approvate dalla Commissione Europea o, ove applicabili, norme vincolanti d'impresa (BCR);
  • in ultima istanza, qualora non ricorrano né decisioni di adeguatezza né garanzie adeguate, e sussistano le condizioni di cui all'art. 49 GDPR, il trasferimento potrà avvenire previo specifico consenso dell'interessato, consapevole dei possibili rischi derivanti dall'assenza di un livello adeguato di protezione.

Nel contesto sopra descritto, i dati personali trattati tramite la piattaforma Nexora One possono essere trasferiti verso Paesi Terzi esclusivamente per finalità connesse alla fornitura tecnica dei servizi, mediante l'utilizzo dei seguenti fornitori esterni:

  • Microsoft Ireland Operations Ltd. (Azure OpenAI), per servizi di elaborazione tramite modelli linguistici avanzati. I dati sono conservati in data center situati nell'Unione Europea (Data Residency EU). Il trasferimento transfrontaliero è regolato da Clausole Contrattuali Standard (SCC);
  • Supabase Inc., provider di infrastruttura cloud e database. Il trattamento è basato su SCC, con utilizzo di data center localizzati in Europa;
  • Shopify Inc., con sede in Canada, per la connessione e gestione dei dati relativi agli ordini. Il trasferimento avviene in virtù della decisione di adeguatezza adottata dalla Commissione Europea ai sensi dell'art. 45 GDPR;
  • Meta Platforms Inc., fornitore dei servizi di messaggistica WhatsApp Business API, con server negli Stati Uniti. Il trasferimento avviene mediante Clausole Contrattuali Standard approvate.
  • Google LLC, con sede negli Stati Uniti, fornitore delle API di Google Business Profile e del servizio di autenticazione OAuth 2.0. Il trasferimento dei dati avviene in virtù della decisione di adeguatezza adottata dalla Commissione Europea ai sensi dell'art. 45 GDPR, sulla base dell'EU-U.S. Data Privacy Framework (decisione di adeguatezza del 10 luglio 2023), cui Google LLC ha aderito. In subordine, il trasferimento è altresì coperto dalle Clausole Contrattuali Standard approvate dalla Commissione Europea.

Il Titolare ha stipulato con ciascun fornitore contratti conformi alle disposizioni di cui agli artt. 28, 45 e 46 del GDPR, garantendo adeguati livelli di protezione dei dati personali e il rispetto dei diritti degli interessati.

L'Interessato potrà, in qualsiasi momento, richiedere ulteriori informazioni circa il trasferimento dei propri dati personali, ivi inclusa la ricezione di una copia aggiornata delle Clausole Contrattuali Standard adottate, nonché la lista completa dei Responsabili esterni del trattamento, con descrizione delle attività svolte e della localizzazione dei relativi server, scrivendo all'indirizzo e-mail: [email protected].

Resta in ogni caso salva la possibilità per il Titolare di comunicare i dati a soggetti stabiliti in Paesi Terzi qualora l'Utente lo richieda espressamente e/o ciò sia previsto o connaturato all'esecuzione di un contratto di cui l'interessato è parte, ovvero imposto da obblighi di legge, da un ordine dell'Autorità o da esigenze connesse alla tutela dei diritti del Titolare.

7. I Suoi diritti

Ai sensi degli artt. 15-22 del GDPR, l'interessato può esercitare in qualsiasi momento i diritti di accesso, rettifica, cancellazione, limitazione, opposizione e portabilità dei dati, nonché il diritto di revocare il consenso prestato. Per esercitare tali diritti, è possibile scrivere all'indirizzo: [email protected].

7-bis. Integrazione con Google Business Profile (Google API Services User Data Policy)

La piattaforma GeoSuite consente all'Utente di collegare un proprio profilo Google Business Profile per importare e analizzare le recensioni delle proprie schede locali. L'integrazione è basata sul protocollo OAuth 2.0 di Google e l'Utente autorizza esplicitamente l'accesso ai propri dati attraverso la schermata di consenso di Google. La connessione è strettamente facoltativa: la mancata attivazione non preclude l'utilizzo delle altre funzionalità della piattaforma.

Scope OAuth richiesti. Per offrire la funzionalità, GeoSuite richiede esclusivamente lo scope https://www.googleapis.com/auth/business.manage, necessario a leggere le schede Business gestite dall'Utente, le relative recensioni e le risposte del titolare. Non vengono richiesti scope di scrittura, pubblicazione, accesso a Gmail, Drive, Calendar o altri servizi Google.

Tipologie di dati a cui accediamo:

  • identificativi dell'account Google (indirizzo e-mail di login, identificativo dell'account business);
  • elenco delle schede Business gestite dall'Utente (nome, indirizzo, identificativo della scheda);
  • recensioni pubbliche associate alle schede selezionate dall'Utente (nome dell'autore, valutazione, testo, lingua, data di pubblicazione, eventuale foto profilo dell'autore);
  • eventuali risposte del titolare alle recensioni;
  • token OAuth (refresh token e access token) emessi da Google, necessari a mantenere la connessione attiva senza richiedere ripetutamente il consenso all'Utente.

Come utilizziamo questi dati. I dati ottenuti attraverso le API di Google sono utilizzati esclusivamente per:

  • mostrare all'Utente che ha autorizzato la connessione il feed completo delle proprie recensioni Business Profile all'interno dell'interfaccia della piattaforma;
  • calcolare metriche aggregate sul medesimo feed (numero recensioni, media stelle, percentuale di risposta del titolare, andamento temporale);
  • generare analisi e raccomandazioni di GEO (Generative Engine Optimization) destinate al solo Utente che ha autorizzato la connessione, all'interno della sua area riservata.

Limited Use disclosure. L'utilizzo da parte di GeoSuite delle informazioni ricevute dalle API di Google rispetta integralmente la Google API Services User Data Policy, inclusi i requisiti di Limited Use applicabili agli scope a uso ristretto. In particolare:

  • i dati ottenuti tramite le API di Google sono utilizzati unicamente per fornire o migliorare le funzionalità rivolte all'Utente che le ha autorizzate, in modo visibile e prominente all'interno dell'interfaccia della piattaforma;
  • tali dati non vengono trasferiti a soggetti terzi, salvo (i) ai sub-responsabili del trattamento elencati all'art. 5 strettamente nei limiti necessari alla fornitura del servizio, (ii) per ragioni di sicurezza, (iii) per ottemperare a obblighi di legge, oppure (iv) nell'ambito di operazioni straordinarie come fusioni o acquisizioni in cui l'Utente sia stato preventivamente informato e abbia prestato il consenso richiesto;
  • tali dati non sono utilizzati per finalità pubblicitarie, inclusa la profilazione marketing, il retargeting o la vendita a terzi;
  • nessun operatore umano legge i dati ricevuti dalle API di Google, salvo che (i) l'Utente abbia prestato consenso esplicito a una specifica operazione, (ii) sia necessario per ragioni di sicurezza (ad esempio indagine su un incidente o sospetto abuso), (iii) sia richiesto dalla legge, oppure (iv) i dati siano stati aggregati e anonimizzati e utilizzati a fini di analisi interna del servizio.

Conservazione e cancellazione. I token OAuth e i metadati di connessione sono conservati esclusivamente per la durata della connessione autorizzata dall'Utente. L'Utente può revocare in qualsiasi momento l'autorizzazione, sia dalla pagina Recensioni della piattaforma (funzione "Disconnetti Google"), sia direttamente dalla pagina di gestione delle autorizzazioni del proprio account Google (myaccount.google.com/permissions). A seguito della revoca GeoSuite cancella entro 30 giorni i token OAuth e interrompe ogni accesso ai dati Google; le recensioni già importate sono soggette alla policy di retention generale di cui all'art. 3 e possono essere oggetto di cancellazione su richiesta dell'Utente ai sensi dell'art. 7.

Sicurezza. I refresh token e gli access token OAuth sono memorizzati in forma cifrata all'interno del database della piattaforma, in conformità con le misure di sicurezza descritte all'art. 4 (crittografia a riposo con gestione chiavi tramite KMS, cifratura in transito TLS 1.2+).

8. Modifiche alla presente Privacy Policy

La presente informativa potrà essere, in qualsiasi momento, modificata e/o aggiornata. Qualora il Titolare intenda trattare i Suoi Dati Personali per finalità diverse rispetto a quelle previste al precedente art. 4, si impegna a fornirLe, prima di tale ulteriore trattamento, adeguate informazioni in merito a tali diverse finalità e di effettuare tale ulteriore trattamento nel rispetto della normativa vigente raccogliendo ove necessario il Suo specifico consenso.

La presente Privacy Policy è stata pubblicata il 21/09/2025 e da ultimo aggiornata in data 08/05/2026 (introduzione dell'art. 7-bis sull'integrazione Google Business Profile). Eventuali aggiornamenti saranno pubblicati in questa pagina.

Back to Home