Titolare del trattamento
Trilathera Soc. Coop
Sede: Via Madonna delle Grazie 18, 03011 Alatri (FR)
P.IVA: 02978680607
REA: FR-191490
PEC: legal@pec.punxfilm.com
Email privacy: privacy@punxfilm.com
DPO: non nominato (cooperativa <10 dipendenti, no dati art. 9 GDPR, no monitoraggio sistematico).
Il referente è una persona, non un ticketing system. Risponde entro 30 giorni.
Categorie di dati che trattiamo
- Dati account (email, nome, password hash) — gestiti tramite Clerk.
- Contenuto delle sceneggiature e dati di produzione (scene, breakdown, schedule, budget) — archiviati su Supabase, regione Frankfurt (UE).
- Dati di fatturazione (carta, intestazione, P.IVA) — gestiti tramite Stripe. Trilathera non vede mai il numero di carta in chiaro.
- Telemetria di uso (tabella
mv_daily_usage: numero spogli generati, export, login) — per metering del piano e capacity planning. - Log tecnici (IP al login, user agent, errori applicativi) — per sicurezza e debug.
Base giuridica
- Esecuzione del contratto (art. 6.1.b GDPR) per dati account, sceneggiature, fatturazione.
- Obbligo legale (art. 6.1.c) per dati fiscali (10 anni, art. 2220 c.c.).
- Legittimo interesse (art. 6.1.f) per log di sicurezza e telemetria minima di prodotto.
- Consenso esplicito (art. 6.1.a) per cookie analytics e comunicazioni marketing.
Sub-processor
Per far girare il prodotto ci appoggiamo a sei sub-processor. Per ognuno abbiamo un Data Processing Agreement (DPA) attivo ai sensi dell'art. 28 GDPR. La lista è aggiornata al 4 maggio 2026; ti scriviamo se cambia qualcosa di rilevante.
| Sub-processor | Ruolo | Sede | Garanzia trasferimento | DPA dal |
|---|---|---|---|---|
| Anthropic | Inference LLM (spoglio, brief) | USA | SCC + zero training retention | 04-mag-2026 |
| Clerk | Autenticazione e gestione account | USA · edge UE | SCC | attivo |
| Resend | Email transazionali | USA | SCC + EU-U.S. DPF | 04-mag-2026 |
| Stripe | Pagamenti e fatturazione | Irlanda · USA | DPF + Data Transfers Addendum | 04-mag-2026 |
| Supabase | Database Postgres | UE (Frankfurt) · USA | SCC + GDPR | 04-mag-2026 |
| Vercel | Hosting applicazione | USA · edge UE | SCC + UK IDTA | 04-mag-2026 |
DPA Anthropic: incorporato per riferimento nei Commercial Terms (Section C). DPA Stripe / Vercel / Resend: auto-vincolanti all'apertura account (Pro plan / Services Agreement). DPA Supabase: firma esplicita registrata, document ref ZBHXT-G6GYB-TO3NB-DFR9Z. Una copia di ogni DPA è conservata da Trilathera Soc. Coop. e disponibile su richiesta a privacy@punxfilm.com.
I tuoi diritti (Art. 13-22 GDPR)
- Accesso — chiederci copia dei tuoi dati.
- Rettifica — correggere dati inesatti.
- Cancellazione ("diritto all'oblio") — eliminare account e dati.
- Portabilità — ricevere i dati in formato strutturato (JSON, CSV).
- Opposizione al trattamento basato su legittimo interesse.
- Limitazione del trattamento.
- Revoca del consenso in qualsiasi momento (per cookie analytics e marketing).
Per esercitarli scrivi a privacy@punxfilm.com. Rispondiamo entro 30 giorni.
Se ritieni che trattiamo i tuoi dati in modo scorretto, puoi presentare reclamo al Garante per la Protezione dei Dati Personali.
Conservazione
- Account attivo: i dati restano nel tuo account finché il piano è attivo.
- Cancellazione richiesta: soft-delete entro 30 giorni, eliminazione definitiva entro 90 giorni dai backup.
- Dati fiscali: conservati 10 anni come da art. 2220 c.c.
- Log tecnici: 90 giorni rolling.
Puoi esportare tutto in JSON in qualsiasi momento dall'area profilo.
Cookie
Vedi la Cookie Policy dedicata.
Trasferimenti extra-UE
Quando usiamo sub-processor con server negli USA (Anthropic, Clerk, Vercel, Stripe, Resend), il trasferimento è coperto da Standard Contractual Clauses adottate dalla Commissione Europea (decisione 2021/914).
Modifiche
Se cambiamo qualcosa di rilevante, ti avvisiamo via email almeno 30 giorni prima.
Per la Privacy Notice della beta privata, vedi /privacy-beta.