Informativa sulla privacy
Ultimo aggiornamento: March 2026
1. Titolare del trattamento
Il titolare del trattamento dei tuoi dati personali è Polishly (contatto: support@polishly.com). Per qualsiasi richiesta relativa alla privacy, puoi contattarci all'indirizzo email sopra indicato.
2. Quali dati raccogliamo
Raccogliamo le seguenti categorie di dati personali: (a) Dati dell'account — il tuo indirizzo email e l'identificativo dell'account Google, raccolti quando accedi tramite Google OAuth; (b) Dati di utilizzo — un ID dispositivo casuale assegnato dal nostro server tramite un cookie HttpOnly alla tua prima visita, utilizzato insieme a un identificativo di rete pseudonimizzato derivato dal tuo indirizzo IP tramite hashing HMAC-SHA256 (non memorizziamo mai il tuo indirizzo IP grezzo) per applicare limiti di frequenza, quote del livello gratuito e concederti accesso sicuro alle tue foto senza un account; metadati dei lavori di miglioramento (tipo di servizio, impostazioni, timestamp, stato di elaborazione); e registri delle transazioni di crediti; (c) Dati di pagamento — Stripe elabora i dettagli della tua carta di pagamento direttamente. Riceviamo solo un identificativo di sessione Stripe e il numero di crediti acquistati. Non vediamo né memorizziamo mai il numero della tua carta, il CVV o l'indirizzo di fatturazione; (d) Dati di preferenza — le tue ultime preferenze di miglioramento utilizzate (categoria, proporzioni, risoluzione) memorizzate in un cookie.
3. Base giuridica del trattamento
Trattiamo i tuoi dati in base alle seguenti basi giuridiche definite nel GDPR Art. 6: (a) Esecuzione di un contratto (Art. 6.1.b) — l'elaborazione dei tuoi lavori di miglioramento e la gestione del tuo saldo crediti sono necessarie per fornire il servizio richiesto; (b) Interessi legittimi (Art. 6.1.f) — prevenzione degli abusi basata su dispositivo e rete, inclusi limiti di frequenza, applicazione del livello gratuito, monitoraggio errori tramite Sentry e rilevamento frodi basato sulla sessione. La prevenzione degli abusi basata sulla rete utilizza un identificativo pseudonimizzato derivato dal tuo indirizzo IP tramite hashing HMAC-SHA256; non memorizziamo mai il tuo indirizzo IP grezzo; (c) Obbligo legale (Art. 6.1.c) — i registri delle transazioni di crediti collegati agli identificativi di sessione Stripe sono conservati per 10 anni dopo l'eliminazione dell'account per conformità alla legge fiscale italiana. Questi registri sono pseudonimizzati (il tuo user_id viene rimosso all'eliminazione) ma non sono anonimi ai sensi del GDPR perché possono essere collegati alla tua identità tramite i registri di Stripe.
4. Come utilizziamo i tuoi dati
I tuoi dati vengono utilizzati esclusivamente per: fornire e migliorare il servizio di miglioramento; elaborare i pagamenti e mantenere i saldi dei crediti; applicare limiti di frequenza e quote del livello gratuito utilizzando identificativi pseudonimizzati a livello di dispositivo e di rete per garantire un accesso equo; concederti accesso sicuro ai tuoi caricamenti anonimi; inviare comunicazioni transazionali (es. se contatti l'assistenza); conformità agli obblighi legali. Non vendiamo i tuoi dati, non li utilizziamo per la pubblicità e non li condividiamo con terze parti eccetto i responsabili del trattamento elencati nella Sezione 5. Le tue foto caricate non vengono mai utilizzate per addestrare modelli IA.
5. Responsabili del trattamento di terze parti
Ci avvaliamo dei seguenti sub-responsabili per operare il servizio: Supabase Inc. (USA) — database, autenticazione e archiviazione file, ospitato in regioni UE dove disponibile; Stripe Inc. (USA) — elaborazione pagamenti, regolata dalla propria informativa sulla privacy e conformità PCI DSS; Google LLC (USA) — miglioramento immagini IA tramite l'API Gemini. La tua immagine caricata e i dati del prompt correlati vengono trasmessi ai server di Google per l'elaborazione. Secondo le politiche dell'API Gemini di Google, gli input e gli output dell'API non vengono utilizzati per addestrare o perfezionare i modelli Gemini per il miglioramento generale del modello, ma Google può conservare prompt, informazioni contestuali e output per un periodo limitato per il monitoraggio degli abusi e l'applicazione delle politiche; Functional Software Inc. / Sentry (USA) — monitoraggio errori; Upstash Inc. (USA) — limiti di frequenza basati su Redis; Cloudflare, Inc. (USA) — protezione bot Turnstile. Tutti i responsabili sono stati selezionati per misure appropriate di protezione dei dati.
6. Conservazione dei dati
Applichiamo limiti rigorosi di conservazione: le immagini caricate (input e output) vengono eliminate definitivamente 48 ore dopo l'elaborazione; quando una richiesta di eliminazione dell'account viene elaborata dopo il periodo di grazia applicabile, i dati dell'account (email, Google ID, saldo crediti) vengono eliminati senza ritardo ingiustificato; i cookie ID dispositivo scadono dopo 1 anno o possono essere cancellati dall'utente in qualsiasi momento tramite le impostazioni del browser; i registri di accettazione dei Termini di servizio vengono eliminati con il tuo account; i registri delle transazioni di crediti vengono pseudonimizzati (user_id impostato a NULL dove applicabile) all'eliminazione dell'account e conservati per 10 anni per soddisfare gli obblighi legali e fiscali. Puoi richiedere un'esportazione completa dei tuoi dati in qualsiasi momento dalla pagina del tuo account.
7. I tuoi diritti ai sensi del GDPR
Come interessato ai sensi del GDPR, hai i seguenti diritti: Diritto di accesso (Art. 15) — scarica un'esportazione completa dei tuoi dati personali dalla pagina del tuo account; Diritto di rettifica (Art. 16) — contattaci per correggere dati inesatti; Diritto alla cancellazione (Art. 17) — richiedi l'eliminazione dell'account dalla pagina del tuo account. Il tuo account e i dati associati saranno eliminati definitivamente entro 30 giorni. I registri delle transazioni fiscali sono esenti dalla cancellazione ai sensi dell'Art. 17.3(b); Diritto alla portabilità dei dati (Art. 20) — la tua esportazione dati è fornita in formato JSON leggibile dalla macchina; Diritto di opposizione (Art. 21) — puoi opporti al trattamento basato su interessi legittimi contattandoci; Diritto alla limitazione (Art. 18) — puoi richiedere che limitiamo il trattamento dei tuoi dati durante la risoluzione di una controversia; Diritto di reclamo — hai il diritto di presentare reclamo al Garante per la protezione dei dati personali su www.garanteprivacy.it.
8. Cookie e archiviazione locale
Utilizziamo due cookie proprietari: (1) "polishly-device" è un cookie HttpOnly contenente un identificativo casuale (UUID) assegnato dal nostro server alla tua prima visita. Viene utilizzato insieme a un identificativo a livello di rete pseudonimizzato derivato lato server dal tuo indirizzo IP tramite hashing HMAC-SHA256 (non memorizziamo mai l'indirizzo IP grezzo) per applicare limiti di frequenza, quote del livello gratuito e concedere accesso anonimo alle tue foto migliorate. Poiché il cookie è HttpOnly, non può essere letto o modificato da JavaScript nel tuo browser. Scade dopo 1 anno o può essere cancellato tramite le impostazioni del browser in qualsiasi momento. (2) "polishly-prefs" memorizza le tue preferenze dell'interfaccia (categoria, proporzioni, risoluzione) per 12 mesi. Non viene utilizzato per tracciamento cross-site, profilazione o pubblicità. Utilizziamo anche Cloudflare Turnstile come misura di sicurezza. Per gli utenti autenticati, Supabase imposta cookie di sessione HttpOnly strettamente necessari per le funzionalità dell'account. Non utilizziamo cookie pubblicitari o tracker di marketing di terze parti.
9. Contatti e aggiornamenti
Per qualsiasi domanda sulla privacy o per esercitare i tuoi diritti, contattaci a support@polishly.com. Risponderemo entro 30 giorni. Questa informativa può essere aggiornata per riflettere cambiamenti nelle nostre pratiche o requisiti legali. Le modifiche sostanziali saranno comunicate tramite il flusso di accettazione dei Termini di servizio al tuo prossimo accesso.