Legale

Informativa sulla Privacy

Come DeepSnow raccoglie, utilizza, condivide, conserva e protegge i dati personali, in conformità con il Regolamento (UE) 2016/679 (GDPR), il Data Protection Act irlandese 2018, il UK GDPR e le leggi applicabili nelle altre giurisdizioni.

Last updated: 2026-05-25

1. Titolare del trattamento e contatto

Il titolare del trattamento è SnowLabs Limited (CRO 799095), società irlandese a responsabilità limitata, con sede in Unit 3D, North Point House, North Point Business Park, New Mallow Road, Cork, Co. Cork, T23 AT2P, Irlanda. Ove il contesto lo richieda, i riferimenti a "DeepSnow", "noi" includono affiliate del gruppo che agiscono come contitolari o titolari indipendenti per attività specifiche.

Il punto di contatto privacy è raggiungibile tramite modulo (Argomento: Privacy / GDPR), via email privacy@deepsnow.tech o per posta. Non abbiamo attualmente un DPO designato; lo nomineremo al raggiungimento delle soglie ex art. 37 GDPR. L’autorità di controllo capofila è la Data Protection Commission irlandese (www.dataprotection.ie).

2. Ambito di applicazione

Questa Policy descrive il trattamento di dati personali raccolti tramite il Sito, il Portale Investitori, i moduli pubblici, la corrispondenza email/postale e gli strumenti di analytics e sicurezza. Non copre i dati trattati nell’ambito di accordi commerciali eseguiti, disciplinati dalle clausole del contratto specifico.

3. Categorie di dati personali

Dati di contatto
Nome, email aziendale, telefono aziendale, organizzazione / nome stazione, ruolo — modulo pilota, newsletter, contatto, richiesta Portale Investitori o corrispondenza diretta.
Dati di utilizzo del Sito
Pagine viste, URL di provenienza, localizzazione approssimativa (paese/regione da IP), tipo di dispositivo, browser, lingua, IP anonimizzato, durata sessione, percorsi di navigazione, depth di scroll, eventi click su elementi tracciati — tramite Google Analytics 4 con IP anonymisation e Consent Mode v2.
Dati del Portale Investitori
Credenziali di autenticazione (hashed), log di accesso (timestamp, IP, user agent, documento, azione). In caso di screening know-your-investor / accredited investor, identità, residenza, source-of-funds ed evidenza di accreditamento secondo la normativa sui titoli applicabile.
Dati del programma pilota
Nome operatore e contatti, coordinate del sito, dettagli infrastruttura di innevamento, descrittori di fonte d’acqua, storia di interazione regolatoria. Raccolti per misure precontrattuali su richiesta.
Dati di engagement marketing
Per la newsletter: email, lingua, timestamp opt-in, pagina di origine e metriche (consegna, aperture, click) tramite Resend. Disiscrizione tramite link nell’email o contatto.
Dati di sicurezza
Log richieste, segnali abuse (rate-limit, scraping sospetto, richieste malformate), eventi WAF — conservati 90 giorni per indagini di sicurezza, base legittimo interesse art. 6(1)(f) GDPR.

4. Categorie particolari

Non raccogliamo intenzionalmente dati di categoria particolare (art. 9 GDPR). Non sottomettete tali dati. In caso di invio inavvertito, acconsentite al trattamento limitato per cancellazione sicura o conservazione legalmente necessaria.

5. Finalità, base giuridica e conservazione

FinalitàBase giuridicaConservazione
Risposta a richieste pilota, investitori e generaliMisure precontrattuali (Art. 6(1)(b)) / legittimo interesse (Art. 6(1)(f))24 mesi dall’ultimo contatto
Mantenimento relazione cliente/investitore/licenziatarioEsecuzione contratto (Art. 6(1)(b))Durata + 7 anni
Analytics del SitoConsenso (Art. 6(1)(a))Fino al ritiro o 14 mesi
Accesso e sicurezza Portale InvestitoriEsecuzione / legittimo interesseAccount attivo + 12 mesi; log 12 mesi
Newsletter e comunicazioni marketing diretteConsenso (Art. 6(1)(a)) — revocabileFino al ritiro o 3 anni di inattività
Adempimenti legali (fiscale, audit, sanzioni, AML)Obbligo legale (Art. 6(1)(c))Come da legge — tipicamente 6–10 anni
Esercizio o difesa di pretese legaliLegittimo interesse / obbligo (Art. 6(1)(f)/(c))Durata del termine di prescrizione applicabile

6. Decisioni automatizzate e profilazione

Non vi sottoponiamo a decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o significativi (art. 22 GDPR). Quando usiamo strumenti AI/ML internamente (es. ricerca polimerica, triage richieste, valutazione Pilot Programme), un revisore umano qualificato è responsabile delle decisioni con impatto materiale.

7. Sub-processori e destinatari

Utilizziamo un piccolo numero di sub-processori. Ciascuno è vincolato da DPA scritto con SCC UE (se fuori SEE) e obblighi ex art. 28 GDPR.

Elenco sub-processori

Sub-processoreServizioLuogo di trattamento
Netlify, Inc.Hosting sito e DNSStati Uniti (SCC in essere)
Google Ireland LimitedGoogle Workspace (email aziendale) e Google Analytics 4Unione Europea (Irlanda) con trasferimenti ulteriori a Google LLC (USA) sotto SCC
Resend, Inc.Invio email transazionali e newsletterUnione Europea (eu-west-1, Irlanda)
Airtable, Inc.Archiviazione richieste pilotaStati Uniti (SCC in essere)

Altri destinatari

  • Consulenti professionali (avvocati, revisori, commercialisti, IP, fiscali, regolatori) vincolati al segreto professionale o contrattuale.
  • Autorità, tribunali e forze dell’ordine — ove richiesto dalla legge o necessario per pretese legali.
  • Potenziali acquirenti, investitori o successori — in caso di M&A, finanziamento, riorganizzazione o cessione di asset, con protezioni di riservatezza adeguate.

8. Trasferimenti internazionali

Alcuni sub-processori trattano dati al di fuori del SEE — principalmente negli USA. Garanzie ex Capo V GDPR: (a) decisioni di adeguatezza UE (es. EU-US DPF se certificato); (b) SCC UE (Decisione 2021/914); (c) misure supplementari tecniche, organizzative e contrattuali.

Abbiamo svolto Transfer Impact Assessment (TIA) per ciascun sub-processore non-SEE; copia redatta disponibile su ragionevole richiesta tramite il contatto privacy.

9. I vostri diritti GDPR

Ai sensi degli artt. 12–22 GDPR avete il diritto di:

  • Accesso — ottenere conferma e copia dei dati (art. 15).
  • Rettifica — correzione dati inesatti, completamento (art. 16).
  • Cancellazione ("diritto all’oblio") — art. 17, con eccezioni legali (obblighi statutari, esercizio o difesa di pretese).
  • Limitazione del trattamento durante una contestazione (art. 18).
  • Portabilità — formato strutturato leggibile da macchina, ove il trattamento si basa su consenso o contratto ed è automatizzato (art. 20).
  • Opposizione — al trattamento basato su legittimo interesse o marketing diretto (art. 21).
  • Revocare il consenso (art. 7(3)).
  • Reclamo — alla DPC irlandese (www.dataprotection.ie) o all’autorità di controllo del vostro paese.

10. Come esercitare i diritti

Per esercitare i diritti: privacy@deepsnow.tech o modulo (Argomento: Privacy / GDPR). Possiamo verificare la vostra identità prima di rispondere. Rispondiamo entro un mese, prorogabile di due mesi per richieste complesse. Gratuito salvo richieste manifestamente infondate o eccessive.

11. Marketing diretto e newsletter

La newsletter è inviata solo ai sottoscritti via opt-in. Ogni email contiene link di disiscrizione. Non usiamo le email per marketing di terzi, non vendiamo né condividiamo liste, non profilazione pubblicitaria.

12. Sicurezza

Misure tecniche e organizzative: TLS 1.2+, cifratura a riposo, RBAC + MFA su tutti gli account amministrativi, least privilege, revisione log, penetration test periodici alla scala adeguata, gestione segreti centralizzata, SDLC sicuro, processo di incident response documentato.

Nessun sistema è impenetrabile. Notificheremo ai sensi degli artt. 33-34 GDPR alla DPC entro 72 ore in caso di rischio elevato per i diritti degli interessati.

13. Minori

Il Sito è rivolto a un pubblico professionale e non a minori di sedici (16) anni. Non raccogliamo consapevolmente dati di minori. Contatti tramite modulo (Argomento: Privacy / GDPR) per cancellazione.

14. Residenti in California (USA)

Per i residenti in California, il CCPA (modificato dal CPRA) prevede diritti aggiuntivi: conoscenza delle categorie raccolte, fonti, finalità; cancellazione (con eccezioni); rettifica; opt-out da "vendita" o "condivisione" (non vendiamo né condividiamo); limitazione dell’uso di "sensitive personal information" (non raccolta consapevolmente); non discriminazione. Esercitare via modulo privacy.

15. Aggiornamenti

Possiamo aggiornare la Policy periodicamente. Le modifiche materiali saranno evidenziate; se influiscono su consensi attivi, richiederemo nuovo consenso. La data "Ultimo aggiornamento" è la data di entrata in vigore.

16. Contatto

Privacy: privacy@deepsnow.tech o modulo (Argomento: Privacy / GDPR). Posta: SnowLabs Limited, c.a. Data Protection, Unit 3D, North Point House, North Point Business Park, New Mallow Road, Cork, Co. Cork, T23 AT2P, Irlanda.