Informativa sulla privacy (GDPR)
Ultimo aggiornamento: 2 luglio 2026
La presente informativa sulla privacy descrive le modalità con cui i dati personali sono raccolti, utilizzati, conservati e protetti nell'ambito dell'utilizzo del software online (SaaS) ThumbLead, accessibile all'indirizzo https://thumblead.com (di seguito il « Servizio »).
Essa è redatta in conformità al Regolamento (UE) 2016/679 del 27 aprile 2016 (di seguito il « GDPR ») e alla legge n. 78-17 del 6 gennaio 1978 modificata, relativa all'informatica, agli archivi e alle libertà (loi Informatique et Libertés, la legge francese sulla protezione dei dati personali, di seguito la « Loi Informatique et Libertés »).
L'utilizzo del Servizio implica la presa di conoscenza e l'accettazione della presente informativa. Vi invitiamo a leggerla attentamente.
Articolo 1 — Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti nell'ambito del funzionamento del Servizio è l'editore:
- Editore: Enzo Violante
- SIRET: 948 968 318 000 14
- Indirizzo: 6 rue Émile Barthe, 34500 Béziers, France
- N. di partita IVA intracomunitaria: TVA non applicable, article 293 B du CGI (regime di franchigia IVA)
- Contatto (dati personali): contact@thumblead.com
- Direttore della pubblicazione: Enzo Violante
Di seguito designato « noi », « l'editore » o « il titolare del trattamento ».
L'editore agisce in qualità di titolare del trattamento per i dati che determina (dati dell'account, di fatturazione, token tecnici, log, ecc.). Un caso particolare si applica ai dati dei prospect importati dall'utente, per i quali l'editore agisce in qualità di responsabile del trattamento (vedere Articolo 9).
Articolo 2 — Dati personali raccolti
Raccogliamo unicamente i dati strettamente necessari alle finalità descritte all'Articolo 3. Le categorie di dati trattati sono le seguenti:
2.1 Dati dell'account
- Cognome e/o nome (o denominazione d'uso indicata);
- Indirizzo e-mail;
- Password, conservata in forma sottoposta ad hashing (mai in chiaro — vedere Articolo 7);
- Se del caso, le informazioni derivanti dall'accesso tramite un account Google (« Google / OAuth »), quali l'identificativo dell'account e l'indirizzo e-mail associato.
2.2 Dati di fatturazione
- Nome / ragione sociale, indirizzo di fatturazione;
- Se del caso, numero SIRET e partita IVA intracomunitaria;
- Storico degli abbonamenti, preventivi, fatture e note di credito;
- Identificativi tecnici associati al prestatore di servizi di pagamento (vedere 2.5).
I dati della carta di pagamento (numero della carta, codice di sicurezza) non sono mai raccolti né conservati da ThumbLead. Essi sono trattati direttamente dal nostro prestatore di servizi di pagamento Stripe (vedere Articolo 4). Per contro, se indicate le vostre coordinate bancarie (IBAN/BIC) per farle figurare sulle vostre fatture, queste sono conservate e cifrate a riposo (vedere Articolo 7).
2.3 Dati dei contatti / CRM inseriti dall'utente
Nell'ambito delle funzionalità di CRM e di gestione commerciale, l'utente può creare e registrare schede di contatti (clienti, prospect) nonché ordini. Tali dati (nome, e-mail, recapiti, note, elementi relativi ai canali YouTube prospettati, storico degli ordini) sono inseriti e gestiti sotto la sola responsabilità dell'utente. Il regime applicabile a tali dati è precisato all'Articolo 9.
2.4 Token di accesso OAuth Google
Quando l'utente connette il proprio account Google per la sincronizzazione di Google Calendar (ed, eventualmente, di altri servizi Google), conserviamo dei token di accesso e di aggiornamento OAuth, cifrati a riposo (vedere Articolo 7) e utilizzati unicamente per eseguire le azioni richieste.
Per l'invio delle proprie sequenze di e-mail di prospezione, l'utente connette la propria casella e-mail (SMTP). Conserviamo quindi le sue credenziali di invio (indirizzo e-mail e password per le applicazioni), quest'ultima essendo cifrata a riposo (vedere Articolo 7) e utilizzata unicamente per inviare le e-mail che programma, dal proprio indirizzo.
2.5 Identificativi Stripe
Per la gestione degli abbonamenti e dei pagamenti, conserviamo gli identificativi tecnici attribuiti da Stripe (ad esempio identificativo cliente, identificativo dell'abbonamento, identificativo del metodo di pagamento tokenizzato). Tali identificativi consentono di collegare un abbonamento a un account, senza mai dare accesso alle coordinate bancarie complete.
2.6 Log tecnici
Per ragioni di sicurezza, di diagnostica e di corretto funzionamento del Servizio, raccogliamo dei log tecnici: indirizzo IP, data e ora di connessione, tipo di browser / di dispositivo, pagine o funzionalità consultate, eventi di errore e di sicurezza.
Articolo 3 — Finalità e basi giuridiche dei trattamenti
Ogni trattamento si fonda su una base giuridica determinata in conformità all'articolo 6 del GDPR.
| Finalità | Dati interessati | Base giuridica |
|---|---|---|
| Creazione e gestione dell'account utente, fornitura del Servizio | Dati dell'account, token OAuth Google | Esecuzione del contratto (art. 6.1.b) |
| Gestione degli abbonamenti, pagamenti, preventivi, fatture e note di credito | Dati di fatturazione, identificativi Stripe | Esecuzione del contratto (art. 6.1.b) e obbligo legale (art. 6.1.c — obblighi contabili e fiscali) |
| Funzionalità di CRM, di agenda, di sequenze di e-mail e di analisi delle miniature tramite IA | Dati dell'account, dati inseriti dall'utente, token OAuth Google | Esecuzione del contratto (art. 6.1.b) |
| Sincronizzazione di Google Calendar | Token OAuth Google | Consenso (art. 6.1.a — autorizzazione OAuth, revocabile in qualsiasi momento) |
| Invio delle sequenze di e-mail dalla casella dell'utente | Credenziali della casella di invio (indirizzo + password per le applicazioni, cifrata) | Esecuzione del contratto (art. 6.1.b) |
| Sicurezza del Servizio, prevenzione delle frodi e degli abusi, diagnostica tecnica | Log tecnici | Legittimo interesse (art. 6.1.f) |
| Miglioramento del Servizio e statistiche di utilizzo interne | Log tecnici (dati aggregati / minimizzati) | Legittimo interesse (art. 6.1.f) |
| Misurazione dell'audience tramite uno strumento di terzi (PostHog) | Dati di navigazione e di utilizzo | Consenso (art. 6.1.a — raccolto tramite un banner, revocabile in qualsiasi momento) |
| Risposta alle richieste di contatto e al supporto | Dati dell'account, contenuto degli scambi | Legittimo interesse (art. 6.1.f) e/o esecuzione del contratto |
| Invio di e-mail transazionali (conferma, fattura, informazione di servizio) | Indirizzo e-mail | Esecuzione del contratto (art. 6.1.b) |
| Rispetto degli obblighi legali e risposta alle richieste delle autorità | A seconda della richiesta | Obbligo legale (art. 6.1.c) |
Quando il trattamento si fonda sul consenso, quest'ultimo può essere ritirato in qualsiasi momento, senza che tale ritiro pregiudichi la liceità dei trattamenti effettuati anteriormente. Il ritiro dell'autorizzazione OAuth Google può essere effettuato, in particolare, dalle impostazioni di sicurezza dell'account Google dell'utente e/o dal Servizio.
Articolo 4 — Destinatari e responsabili del trattamento
I dati non sono né venduti, né noleggiati, né ceduti a terzi a fini commerciali.
Essi possono essere comunicati alle seguenti categorie di destinatari, strettamente nella misura necessaria alle finalità sopra descritte:
- L'editore ed, eventualmente, le persone autorizzate che agiscono sotto la sua autorità;
- I responsabili del trattamento elencati di seguito, che agiscono secondo le nostre istruzioni e presentano garanzie sufficienti ai sensi dell'articolo 28 del GDPR;
- Le autorità amministrative o giudiziarie competenti, su richiesta legale.
Responsabili del trattamento e prestatori
| Prestatore | Ruolo / finalità | Ubicazione | Trasferimento fuori UE |
|---|---|---|---|
| Railway Corporation | Hosting dell'applicazione e del database PostgreSQL | Stati Uniti | Sì (vedere Articolo 5) |
| Stripe Payments Europe, Ltd. | Trattamento dei pagamenti e gestione degli abbonamenti | Irlanda (UE) | No |
| Google Ireland Ltd. | Analisi delle miniature tramite IA (Google Gemini), accesso Google / OAuth, sincronizzazione di Google Calendar | Irlanda (UE) | Vedere Articolo 5 |
| PostHog | Misurazione dell'audience e statistiche di utilizzo del Servizio (sulla base del consenso dell'utente) | Unione europea (hosting UE) | No |
| Sentry (Functional Software, Inc.) | Rilevamento e diagnostica degli errori tecnici (monitoraggio applicativo) | Unione europea (regione dati UE) | No |
| Resend e/o Gmail SMTP | Invio di e-mail transazionali e di fatture | Google (invio tramite l'API Gmail / Google Ireland Ltd., Irlanda) | Non applicabile (prestatore situato nell'Unione europea) |
L'indirizzo del prestatore di hosting è: Railway Corporation, 548 Market Street, San Francisco, CA 94104, Stati Uniti.
Per quanto riguarda i dati trasmessi a Google (in particolare il contenuto delle miniature analizzate tramite Gemini), il loro trattamento è altresì soggetto alle informative sulla privacy di Google. Il Servizio utilizza tali accessi solo per eseguire le azioni espressamente richieste dall'utente.
Articolo 5 — Trasferimenti di dati al di fuori dell'Unione europea
L'hosting dell'applicazione e del database PostgreSQL è garantito da Railway Corporation, società stabilita negli Stati Uniti. A tale titolo, alcuni dati personali sono oggetto di un trasferimento al di fuori dello Spazio economico europeo (SEE).
Tale trasferimento è disciplinato da garanzie appropriate ai sensi del capo V del GDPR, ossia la conclusione delle clausole contrattuali tipo (CCT) adottate dalla Commissione europea (decisione di esecuzione (UE) 2021/914 del 4 giugno 2021), integrate, se del caso, da misure tecniche e organizzative supplementari.
Per quanto riguarda Google, quando il responsabile del trattamento contraente è Google Ireland Ltd. (UE), i dati sono trattati nel quadro europeo; qualsiasi eventuale trasferimento verso infrastrutture situate al di fuori del SEE è disciplinato dalle clausole contrattuali tipo e dalle garanzie messe in atto da Google.
Una copia delle garanzie applicabili può essere ottenuta su richiesta all'indirizzo indicato all'Articolo 1.
Articolo 6 — Periodi di conservazione
I dati sono conservati solo per il periodo strettamente necessario alle finalità per le quali sono trattati, per poi essere archiviati o cancellati in conformità ai periodi indicati di seguito:
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati dell'account | Per tutta la durata del rapporto contrattuale, poi cancellazione (o anonimizzazione) entro un termine massimo di 3 mesi dalla chiusura dell'account |
| Token OAuth Google | Fino alla revoca dell'autorizzazione da parte dell'utente, alla disconnessione dal servizio Google o alla chiusura dell'account |
| Dati di fatturazione, fatture e documenti contabili | 10 anni a decorrere dalla chiusura dell'esercizio contabile, in conformità all'articolo L123-22 del Codice di commercio francese |
| Contatti CRM e ordini inseriti dall'utente | Per tutta la durata di utilizzo del Servizio da parte dell'utente; cancellati alla chiusura dell'account, fatta salva l'azione propria dell'utente (vedere Articolo 9) |
| Log tecnici | 12 mesi in conformità alle raccomandazioni in materia di sicurezza |
| Dati relativi alla gestione delle richieste di esercizio dei diritti | Il tempo necessario al trattamento della richiesta, poi conservazione a titolo di prova entro i termini di prescrizione applicabili |
Alla scadenza di tali periodi, i dati sono cancellati o anonimizzati in modo irreversibile. Alcuni dati possono essere conservati in archiviazione intermedia, ad accesso limitato, per adempiere a un obbligo legale o per far valere un diritto in sede giudiziaria.
Articolo 7 — Sicurezza dei dati
Mettiamo in atto misure tecniche e organizzative appropriate al fine di garantire un livello di sicurezza adeguato al rischio, in conformità all'articolo 32 del GDPR. Tali misure comprendono in particolare:
- L'hashing delle password mediante l'algoritmo bcrypt (le password non sono mai conservate né trasmesse in chiaro);
- La cifratura a riposo dei dati sensibili (in particolare le coordinate bancarie di tipo IBAN utilizzate per la fatturazione, i token di accesso Google e la password per le applicazioni della casella di invio) mediante una cifratura AES-256;
- La cifratura delle comunicazioni in transito tramite il protocollo HTTPS/TLS;
- Il controllo degli accessi e la limitazione delle autorizzazioni allo stretto necessario;
- La registrazione degli eventi di sicurezza;
- Il ricorso a responsabili del trattamento che presentano garanzie di sicurezza conformi all'articolo 28 del GDPR.
In caso di violazione di dati personali che possa comportare un rischio per i diritti e le libertà delle persone interessate, ci impegniamo a notificarla alla CNIL (l'autorità francese di controllo per la protezione dei dati) nei termini e nelle condizioni previsti dall'articolo 33 del GDPR e, se del caso, a informarne le persone interessate in conformità all'articolo 34 del GDPR.
Poiché nessun sistema offre una sicurezza assoluta, l'utente è invitato a contribuire alla protezione dei propri dati, in particolare scegliendo una password robusta e mantenendola riservata.
Articolo 8 — Diritti delle persone interessate
In conformità al GDPR e alla Loi Informatique et Libertés, ogni persona interessata dispone dei seguenti diritti sui propri dati personali:
- Diritto di accesso (art. 15 GDPR): ottenere la conferma che siano in corso di trattamento dati che la riguardano e riceverne una copia;
- Diritto di rettifica (art. 16 GDPR): far correggere dati inesatti o incompleti;
- Diritto alla cancellazione (art. 17 GDPR): ottenere la cancellazione dei propri dati, fatti salvi gli obblighi legali di conservazione (in particolare contabili e fiscali);
- Diritto alla portabilità (art. 20 GDPR): ricevere i dati forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare del trattamento;
- Diritto di opposizione (art. 21 GDPR): opporsi, per motivi connessi alla propria situazione particolare, a un trattamento fondato sul legittimo interesse;
- Diritto alla limitazione del trattamento (art. 18 GDPR): richiedere il congelamento temporaneo dell'utilizzo dei propri dati in taluni casi;
- Diritto di ritirare il proprio consenso in qualsiasi momento, quando il trattamento si fonda su di esso;
- Diritto di definire direttive relative alla sorte dei propri dati dopo il decesso (art. 85 della Loi Informatique et Libertés).
Come esercitare i propri diritti
Tali diritti possono essere esercitati inviando una richiesta all'indirizzo di contatto indicato all'Articolo 1: contact@thumblead.com, oppure per posta all'indirizzo postale dell'editore.
Al fine di trattare la richiesta, potrà essere chiesto di comprovare la propria identità. Una risposta sarà fornita entro un termine di un mese dalla ricezione della richiesta, prorogabile di due mesi in caso di complessità o di numero elevato di richieste, la persona interessata essendone in tal caso informata.
Reclamo presso la CNIL
Se, dopo aver contattato l'editore, la persona interessata ritiene che i propri diritti non siano rispettati, essa può presentare un reclamo presso la Commission nationale de l'informatique et des libertés (CNIL) (l'autorità francese di controllo):
- CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Sito: https://www.cnil.fr
Articolo 9 — Caso particolare: dati dei prospect importati dall'utente
Il Servizio consente all'utente di importare, creare e gestire dati relativi a prospect (canali YouTube e i loro responsabili, contatti commerciali, recapiti, note, storico degli scambi), in particolare nell'ambito delle funzionalità di prospezione, di CRM e di sequenze di e-mail.
Per tali dati, la ripartizione dei ruoli è la seguente:
- L'utente è il titolare del trattamento dei propri prospect. Egli determina le finalità e i mezzi del trattamento di tali dati, sceglie le persone da prospettare e decide i messaggi loro indirizzati.
- L'editore (ThumbLead) agisce in qualità di responsabile del trattamento ai sensi dell'articolo 28 del GDPR: tratta tali dati unicamente su istruzione dell'utente e per conto di quest'ultimo, al solo fine di fornire le funzionalità del Servizio.
A tale titolo, spetta all'utente, nella sua qualità di titolare del trattamento dei propri prospect:
- disporre di una base giuridica valida per la prospezione (in particolare il rispetto delle norme applicabili alla prospezione in materia B2B e B2C, della direttiva « vita privata e comunicazioni elettroniche », dell'articolo L34-5 del Codice delle poste e delle comunicazioni elettroniche francese e delle linee guida della CNIL);
- informare le persone prospettate e rispettare i loro diritti (accesso, opposizione, cancellazione, ecc.);
- raccogliere, ove richiesto, il consenso preventivo delle persone;
- vigilare sulla liceità delle fonti da cui provengono i dati importati.
L'editore, in qualità di responsabile del trattamento, si impegna a trattare tali dati solo in conformità alle istruzioni documentate dell'utente, ad assicurarne la riservatezza e la sicurezza, e a cancellarli o restituirli al termine della prestazione, alle condizioni previste dalle condizioni generali del Servizio e, se del caso, da un accordo sul trattamento dei dati (DPA) distinto. Peraltro, l'editore ha concluso accordi sul trattamento dei dati (DPA) con i propri responsabili del trattamento (Railway, Stripe, Google).
Articolo 10 — Cookie e traccianti
Il Servizio utilizza essenzialmente cookie tecnici, strettamente necessari al suo funzionamento:
- cookie di sessione e di autenticazione (che consentono di mantenere l'utente connesso);
- cookie di preferenze (memorizzazione delle scelte di interfaccia).
Poiché tali cookie sono strettamente necessari alla fornitura del Servizio espressamente richiesto, essi sono esentati dalla raccolta del consenso in conformità all'articolo 82 della Loi Informatique et Libertés e alle linee guida della CNIL.
Il Servizio non ricorre a cookie pubblicitari di terzi né a tracciamento a fini di targeting pubblicitario.
Per maggiori precisazioni sulla natura dei cookie utilizzati e sulla loro gestione, si rimanda alla Politica dei cookie del Servizio: https://thumblead.com/politique-cookies.
Articolo 11 — Minori
Il Servizio si rivolge a professionisti (freelance, lavoratori autonomi) e non è destinato ai minori. Non raccogliamo consapevolmente dati relativi a persone di età inferiore a 15 anni. Qualora venissimo a conoscenza della raccolta di tali dati senza il consenso richiesto, procederemmo alla loro cancellazione nel più breve tempo possibile. Chiunque ritenga che un minore ci abbia comunicato dati è invitato a informarcene all'indirizzo indicato all'Articolo 1.
Articolo 12 — Modifiche della presente informativa
La presente informativa sulla privacy può essere modificata in qualsiasi momento, in particolare al fine di tenere conto delle evoluzioni legali, regolamentari, giurisprudenziali o tecniche, o delle evoluzioni del Servizio.
La versione applicabile è quella in vigore alla data di accesso al Servizio, la data dell'ultimo aggiornamento figurando in testa al presente documento. In caso di modifica sostanziale, gli utenti potranno esserne informati con un mezzo appropriato (ad esempio e-mail o notifica all'interno del Servizio). La prosecuzione dell'utilizzo del Servizio dopo l'entrata in vigore delle modifiche vale come presa di conoscenza delle stesse.