Cerebro E-hub – Via Giacomo Matteotti 43, 20864 Agrate Brianza (MB), Italia

Email privacy: ... | PEC: ...| P. IVA: ...

Ultimo aggiornamento: 8 ottobre 2025

1) Chi siamo e ambito di applicazione

Questa informativa descrive come Cerebro E-hub (di seguito “Titolare”, “noi”) tratta i dati personali di:

• Visitatori del/i sito/i web e delle landing (inclusi cookie/tecnologie simili);
  
• Clienti e prospect B2B/B2C dei servizi digitali (siti, e-commerce, marketing, hosting/gestioni);
  
• Clienti dei servizi di consulenza ristorativa;
  
• Acquirenti di prodotti digitali (ebook, guide, corsi);
  
• Fornitori/partner e candidati (HR).
  

Ruoli privacy:

• Siamo Titolare per i dati raccolti tramite i nostri canali e per la gestione amministrativa/commerciale dei clienti.
  
• Possiamo operare come Responsabile del trattamento (art. 28 GDPR) quando gestiamo per i clienti dati di loro utenti (es. dati raccolti sul sito del cliente, CRM, newsletter). In tal caso firmiamo un Data Processing Agreement (DPA) che disciplina finalità, istruzioni, sicurezza, sub-responsabili e trasferimenti.
  

2) Tipologie di dati trattati

• Dati identificativi e di contatto: nome, cognome, azienda, ruolo, indirizzo, email, telefono, partita IVA, PEC.
  
• Dati contrattuali e di fatturazione: preventivi, ordini, IBAN/estrema sintesi dei pagamenti (i dati carta transitano presso PSP terzi).
  
• Dati tecnici/di navigazione: indirizzo IP, user-agent, log server, identificatori online, eventi di pagina, parametri UTM, device info.
  
• Dati marketing/commerciali: preferenze, storico interazioni, apertura email, opt-in/opt-out, segmentazioni.
  
• Dati operativi di progetto: brief, contenuti forniti dal cliente, credenziali tecniche (gestite con principi least-privilege).
  
• HR (candidati): CV e info professionali (invitiamo a non inviare categorie particolari, v. §10).
  
• Consulenza ristorazione: dati aziendali e di processo; evitiamo categorie particolari e dati dei dipendenti non necessari.
  

Fonti: dati forniti dall’interessato, generati durante l’uso dei servizi, acquisiti da terzi (es. provider tecnici, lead form di piattaforme).

3) Finalità del trattamento, basi giuridiche e tempi di conservazione

Cerebro E-hub tratta i dati personali per le seguenti finalità:

1. Gestione di richieste e preventivi, esecuzione di contratti e servizi (web agency, consulenza, prodotti digitali)
   
   -Base giuridica: esecuzione di un contratto o misure precontrattuali (art. 6 par. 1 lett. b GDPR) -Conservazione: per tutta la durata del rapporto e fino a 10 anni per obblighi civilistici e fiscali
   
2. Fatturazione, contabilità e adempimenti di legge
   
   -Base giuridica: obbligo legale (art. 6 par. 1 lett. c GDPR)
   -Conservazione: 10 anni come previsto dalla normativa italiana
   
3. Sicurezza informatica, manutenzione sistemi e difesa in giudizio
   
   -Base giuridica: legittimo interesse del titolare (art. 6 par. 1 lett. f GDPR)
   -Conservazione: log tecnici 6–24 mesi; documentazione difensiva fino a chiusura delle eventuali controversie
   
4. Attività di marketing diretto verso clienti e prospect B2B (newsletter, comunicazioni commerciali su servizi analoghi)
   
   -Base giuridica: legittimo interesse del titolare nei limiti consentiti dalla legge o consenso esplicito (art. 6 par. 1 lett. a e f GDPR)
   -Conservazione: fino a 24 mesi o fino a revoca/opposizione
   
5. Invio di newsletter, campagne promozionali, remarketing e utilizzo di cookie/tecnologie di profilazione
   
   -Base giuridica: consenso dell’interessato (art. 6 par. 1 lett. a GDPR)
   -Conservazione: fino a revoca; per i cookie secondo le scadenze specifiche indicate nella Cookie Policy
   
6. Analisi statistiche e misurazione traffico (analytics, report anonimi o aggregati)
   
   -Base giuridica: legittimo interesse del titolare, se anonimizzati, oppure consenso, se traccianti (art. 6 par. 1 lett. a o f GDPR)
   -Conservazione: 14–26 mesi, o periodo differente stabilito dallo strumento
   
7. Gestione candidature e selezione del personale
   
   -Base giuridica: misure precontrattuali su richiesta dell’interessato (art. 6 par. 1 lett. b GDPR)
   -Conservazione: 12 mesi salvo consenso al mantenimento più lungo
   
8. Tutela e valorizzazione del portafoglio clienti (case study, referenze)
   
   -Base giuridica: legittimo interesse del titolare (art. 6 par. 1 lett. f GDPR)
   -Conservazione: fino a opposizione o fine dell’interesse legittimo
   
9. Adempimenti derivanti da ruoli come Responsabile del trattamento (art. 28 GDPR) quando agiamo per conto di clienti (es. hosting, gestione newsletter, e-commerce)
   
   -Base giuridica: obbligo contrattuale e rispetto delle istruzioni del cliente-Titolare
   -Conservazione: fino a cessazione del contratto o istruzioni contrarie del cliente, salvo obblighi di legge
   

Tutti i dati non più necessari vengono cancellati o anonimizzati nel più breve tempo possibile, in conformità ai principi di limitazione della conservazione e minimizzazione (artt. 5 par. 1 lett. c e e GDPR).

4) Marketing, profilazione e decisioni automatizzate

• Newsletter/DEM/Remarketing richiedono consenso quando non applicabile il soft-spam; puoi revocarlo in ogni momento (link in fondo alle email).
  
• Possiamo effettuare profilazioni “light” per segmentare le comunicazioni (es. per settore, interesse, storico interazioni). Non adottiamo decisioni unicamente automatizzate che producano effetti giuridici sull’interessato (art. 22 GDPR). Hai sempre diritto di opporti alla profilazione per marketing.
  

5) Cookie e altri tracciatori

Usiamo un Consent Management Platform (CMP) per acquisire e registrare le scelte. I cookie tecnici sono necessari e installati senza consenso; analytics/profilazione/marketing vengono installati solo previo consenso (salvo configurazioni privacy-by-design conformi). La descrizione dettagliata dei cookie, dei terzi coinvolti e dei tempi di scadenza è nella nostra Cookie Policy (link nel footer del sito). Le regole seguono le Linee guida del Garante del 10/06/2021. Garante Privacy

6) Destinatari e categorie di fornitori (Responsabili/sub-responsabili)

Condividiamo dati solo quanto necessario con fornitori che agiscono come Responsabili ex art. 28 GDPR (o autonomi Titolari dove pertinente). Categorie tipiche:

• Hosting/cloud/CDN e registri di dominio;
  
• Piattaforme web/CMS/e-commerce (es. Shopify/WordPress ecc. se usate nel progetto);
  
• Email/transactional mail, newsletter, CRM, chat, ticketing;
  
• Payment service provider (PSP) per acquisti di ebook/guide;
  
• Analytics/ads/AB testing;
  
• Sicurezza, backup, antispam, anti-DDoS;
  
• Traduzione, produttività e strumenti AI (con pseudonimizzazione/anonymization e divieti sul caricamento di categorie particolari, v. §10);
  
• Consulenti legali, fiscali, HR.
  
  Con ciascuno stipuliamo accordi conformi all’art. 28 GDPR.
  

Da personalizzare (consigliato): aggiungi elenco nominativo dei principali fornitori con sede/paese e ruolo (Titolare/Responsabile).

7) Trasferimenti extra-UE

I dati possono risiedere o essere accessibili da Paesi extra-SEE. In tali casi garantiamo una base lecita:

• Decisioni di adeguatezza della Commissione UE (es. EU-US Data Privacy Framework – DPF, 10 luglio 2023, per fornitori USA certificati). EUR-Lex+1
  
• Clausole Contrattuali Tipo (SCC 2021/914) quando manca l’adeguatezza, eventualmente con misure supplementari. EUR-Lex+1
  
  Valutiamo caso per caso i rischi e aggiorniamo le garanzie in base a orientamenti EDPB e Autorità. EDPB
  

8) Misure di sicurezza

Applichiamo misure tecniche e organizzative proporzionate al rischio, tra cui: controllo accessi least-privilege, MFA, cifratura in transito e a riposo ove disponibile, segregazione ambienti, pseudonimizzazione dove possibile, backup e logging, hardening e formazione staff. Teniamo traccia delle istruzioni dei clienti quando agiamo come Responsabili.

9) Data breach

In caso di violazione dei dati personali, attiviamo la procedura di incident response, con notifica al Garante entro 72 ore ove richiesto e, se il rischio è elevato, comunicazione agli interessati. (Portale Garante per notifiche e comunicazioni ufficiali). Servizi GPDP

10) Dati che non vogliamo (categorie particolari)

Non chiediamo né desideriamo trattare categorie particolari di dati (salute, opinioni politiche, sindacali, religione, orientamento sessuale, dati biometrici/genetici). Se emergeranno per errore, li cancelleremo quando possibile.

HR: i candidati non devono inserire dati sensibili nel CV; se necessari (es. categorie protette), fornirli solo quando richiesti e nei limiti di legge.

11) Minori

I nostri servizi non sono rivolti a minori. Per i servizi della società dell’informazione in Italia il consenso digitale è lecito dai 14 anni; sotto i 14 serve il consenso di chi esercita la responsabilità genitoriale (art. 2-quinquies Codice Privacy). Garante Privacy+1

12) Diritti dell’interessato

Hai diritto di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e di revocare il consenso in qualunque momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca. Puoi esercitarli scrivendo a [email privacy] o PEC. Rispondiamo entro 1 mese (estendibile a 3 nei casi complessi).

13) Autorità di controllo competente

Hai diritto di proporre reclamo al Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma; info e contatti sul sito istituzionale. Garante Privacy+1

14) Obblighi del Cliente quando siamo Responsabile (art. 28)

Quando trattiamo dati per conto del Cliente (es. hosting, gestione e-commerce, campagne, newsletter):

• Seguiamo solo istruzioni documentate del Cliente.
  
• Usiamo sub-responsabili autorizzati e soggetti a obblighi equivalenti.
  
• Assicuriamo misure di sicurezza adeguate.
  
• Assistiamo il Cliente nel dare seguito alle richieste degli interessati, nei data breach e nelle valutazioni d’impatto (DPIA).
  
• Cancelliamo o restituiamo i dati a fine rapporto, salvo obblighi di legge.
  
  Tutto ciò è regolato da DPA dedicato: su richiesta forniamo il nostro template.
  

15) Conservazione e criteri di minimizzazione

Applichiamo principi di minimizzazione, limitazione della finalità e conservazione: tratteniamo i dati solo per il tempo necessario a (i) finalità contrattuali, (ii) obblighi legali, (iii) difesa in giudizio; poi li cancelliamo o anonimizziamo.

16) Social media, link esterni e contenuti di terzi

Widget social, mappe, video e link a siti di terzi sono soggetti alle loro privacy policy. Ti invitiamo a leggerle attentamente. Se tecnicamente possibile, blocchiamo i tracciatori fino al consenso.

17) Aggiornamenti dell’informativa

Potremo aggiornare questa Privacy Policy per riflettere cambi normativi o tecnici. La versione corrente è sempre pubblicata sul sito con data di aggiornamento. In caso di modifiche sostanziali, daremo una comunicazione visibile o diretta (email, banner).

Informazioni pratiche da completare (per renderla “pronta all’uso”)

1. Contatti privacy: email dedicata e PEC.
   
2. Elenco fornitori principali (nome, ruolo, Paese, base di trasferimento: UE/SEE, DPF, SCC).
   
3. Cookie list reale (dal CMP): nominativi, scopi, durate.
   
4. Canali marketing usati (newsletter,ads), base giuridica per ciascun canale e link facile all’opt-out.
   
5. Template DPA da inviare ai clienti quando agite da Responsabili.
   
6. Eventuali filiere congiunte (contitolarità): se mai collaboraste con partner definendo insieme finalità/mezzi, servirebbe accordo di contitolarità (art. 26).
   

Riferimenti normativi e link utili

• GDPR – Reg. (UE) 2016/679 (testo IT su EUR-Lex). EUR-Lex+1
  
• Linee guida cookie del Garante (10/06/2021). Garante Privacy
  
• SCC 2021/914 – Clausole contrattuali tipo della Commissione UE. EUR-Lex
  
• SCC – pagina Commissione UE (overview). European Commission
  
• EU-US Data Privacy Framework – Decisione di adeguatezza (10/07/2023). EUR-Lex+1
  
• Garante Privacy – Contatti/URP e sede. Garante Privacy+1
  
• Minori e consenso digitale (Italia: 14 anni). Garante Privacy+1