Informativa sul Trattamento dei Dati Personali
STUDIOFORMA srl — www.studioformasrl.com · Ultimo aggiornamento: 11 giugno 2026 · Versione 1.3 (integrazione servizio Architetto Senior AI · cronologia tier-scoped · ambito Careers)
Ai sensi del Regolamento (UE) 2016/679 (di seguito “GDPR”) e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018, STUDIOFORMA srl, in qualità di Titolare del trattamento, fornisce la presente informativa agli utenti del sito www.studioformasrl.com e dei sottodomini collegati.
1. Titolare del Trattamento
STUDIOFORMA srl — Via dell’Arcolaio 19/A, 50137 Firenze (FI), Italia. P.IVA / Codice Fiscale: IT06693640481. Iscrizione Registro Imprese Firenze: FI-648918. PEC: srlstudioforma@pec.it. Email amministrativa: architettura@studioformasrl.com. Telefono: +39 055 802 1594.
Il Titolare può essere contattato per qualsiasi questione relativa al trattamento dei propri dati personali e per l’esercizio dei diritti di seguito descritti, preferibilmente tramite PEC all’indirizzo srlstudioforma@pec.it.
Responsabile della Protezione dei Dati (DPO / RPD): STUDIOFORMA srl, in considerazione della natura e della scala dei trattamenti effettuati, non ha l’obbligo di nominare un DPO ai sensi dell’art. 37 GDPR. Il Titolare resta l’unico referente per l’esercizio dei diritti dell’interessato.
2. Tipologie di dati raccolti e finalità del trattamento
Il sito www.studioformasrl.com raccoglie dati personali in contesti distinti, ciascuno con la propria base giuridica e durata di conservazione.
Stato di attivazione: dei trattamenti elencati di seguito, sono attualmente attivi sul sito §2.7 (dati di navigazione) e il log dei consensi cookie (cfr. Cookie Policy §4.1). I trattamenti §2.1–§2.6 (form Contattaci Core/Tailored/Online, Careers, Newsletter, Whitelist Newsletter) sono attivati progressivamente al rilascio dei relativi form; §2.8 (query alla piattaforma Architetto Senior AI) si attiva al go-live del servizio. La presente informativa è aggiornata in caso di modifiche sostanziali.
2.1 — Form “Contattaci · Core” (richiesta di consulenza professionale)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Nome, cognome, email, numero di telefono, descrizione del progetto / richiesta |
| Finalità | Riscontro alla richiesta · valutazione di fattibilità · eventuale stipula di contratto di incarico professionale |
| Base giuridica | Art. 6.1.b GDPR — misure precontrattuali su richiesta dell’interessato |
| Conferimento | Obbligatorio per ottenere risposta. Rifiuto = impossibilità di fornire il servizio |
| Durata | 3 anni dal contatto, salvo trasformazione in cliente attivo (durata contrattuale + obblighi fiscali) |
2.2 — Form “Contattaci · Tailored” (atelier sottodominio tailored.studioformasrl.com)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Nome, cognome, email, telefono, descrizione esigenza |
| Finalità | Selezione candidati committenza atelier (gate qualificato) · risposta personalizzata |
| Base giuridica | Art. 6.1.b GDPR — misure precontrattuali su richiesta dell’interessato |
| Conferimento | Obbligatorio |
| Durata | 3 anni dal contatto |
2.3 — Form “Contattaci · Online” (Servizi Online — Architetto Senior AI)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Nome, cognome, email, descrizione esigenza tecnica/normativa |
| Finalità | Risposta a richiesta servizio AI (Consulenza Normativa, servizi di visualizzazione e rendering AI) · onboarding piattaforma |
| Base giuridica | Art. 6.1.b GDPR — misure precontrattuali + Art. 6.1.a GDPR — consenso per il successivo uso della piattaforma |
| Conferimento | Obbligatorio per la presa in carico della richiesta |
| Durata | 3 anni dal contatto · fino a revoca per gli iscritti SaaS attivi |
2.4 — Form “Careers” (candidature lavorative)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Nome, cognome, email, numero di telefono, curriculum vitae, lettera motivazionale, eventuali allegati portfolio |
| Finalità | Valutazione della candidatura e selezione di personale e collaboratori da inserire nella propria organizzazione |
| Base giuridica | Art. 6.1.b GDPR — misure precontrattuali + Art. 6.1.f — legittimo interesse del Titolare alla selezione del personale per la propria organizzazione |
| Ambito | Le candidature sono raccolte esclusivamente per il reclutamento interno del Titolare — inserimento di personale e collaboratori nella propria struttura di società di servizi. STUDIOFORMA non svolge attività di ricerca e selezione del personale per conto di terzi, né intermediazione o somministrazione di lavoro: tali attività sono riservate ad agenzie e soggetti autorizzati ai sensi del D.Lgs. 276/2003 (Legge Biagi), autorizzazione di cui il Titolare non dispone né intende avvalersi. I curriculum ricevuti non vengono comunicati o proposti a soggetti terzi per finalità di selezione |
| Conferimento | Obbligatorio per partecipare alla selezione |
| Durata | 30 giorni dalla chiusura del processo selettivo per candidati non assunti · durata contrattuale per assunti |
| Selezione | Svolta esclusivamente da personale del Titolare. STUDIOFORMA non utilizza sistemi di intelligenza artificiale per l’assunzione, lo screening o la selezione dei candidati, né adotta decisioni automatizzate o profilazione ai sensi dell’art. 22 GDPR nel processo di selezione |
| Avvertenza | Si invita a non inserire nel CV dati particolari ai sensi dell’art. 9 GDPR (origine razziale/etnica, opinioni politiche, religiose, dati sanitari, vita o orientamento sessuale, dati biometrici/genetici) se non strettamente necessari |
2.5 — Iscrizione Newsletter (form pubblico)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Indirizzo email · (opzionale) nome |
| Finalità | Invio periodico (massimo mensile) di contenuti editoriali, novità di studio, articoli di approfondimento |
| Base giuridica | Art. 6.1.a GDPR — consenso esplicito (double opt-in con conferma via email) |
| Conferimento | Facoltativo |
| Durata | Fino a revoca del consenso (pulizia automatica iscritti inattivi da oltre 24 mesi) |
| Revoca | Link di cancellazione presente in ogni email + richiesta via PEC |
2.6 — Whitelist Newsletter (invito diretto)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Email + nome |
| Finalità | Newsletter editoriale a invito personale del Titolare (clienti, collaboratori, contatti istituzionali) |
| Base giuridica | Art. 6.1.a GDPR — consenso esplicito raccolto in occasione dell’invito |
| Conferimento | Facoltativo |
| Durata | Fino a revoca |
| Revoca | Link di cancellazione in ogni email + richiesta via PEC |
2.7 — Dati di navigazione (raccolti automaticamente)
Durante la normale operatività del sito sono raccolti automaticamente: indirizzo IP, user agent, lingua del browser, sistema operativo, risoluzione schermo; pagine visitate, tempo di permanenza, percorso di navigazione; provenienza del traffico (referrer).
Base giuridica: Art. 6.1.f GDPR — legittimo interesse del Titolare alla sicurezza del sito, prevenzione abusi, statistiche aggregate. Durata: 12 mesi per i log di sicurezza · IP anonimizzato per le statistiche Analytics.
2.8 — Query alla piattaforma Architetto Senior AI (nuovo · servizio AI)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Testo delle domande poste dall’utente (può contenere dati personali se l’utente li inserisce) · esito/risposta · metadati tecnici (timestamp, utente, piano) |
| Finalità | Erogazione del servizio di consultazione normativa AI · sicurezza e prevenzione abusi · miglioramento qualità su base aggregata/anonimizzata · conservazione della cronologia delle consultazioni (testo della domanda e della risposta), messa a disposizione dell’utente come funzionalità dei piani STUDIO, TOP ed Enterprise, consultabile, esportabile e cancellabile dall’utente stesso |
| Base giuridica | Art. 6.1.b GDPR — esecuzione del contratto di servizio |
| Conferimento | Necessario per usare il servizio |
| Durata | Log tecnico e di sicurezza (tutti i piani): configurabile, default 12 mesi, poi anonimizzazione. Cronologia consultazioni (piani STUDIO/TOP/Enterprise): conservata per un massimo di 6 mesi dalla data della consultazione, poi cancellata automaticamente; comunque cancellabile ed esportabile in qualsiasi momento dall’utente dalla pagina Preferenze (art. 17 / art. 20). Piano START: il contenuto delle consultazioni non è conservato in cronologia; resta il solo conteggio delle query ai fini della quota |
| Minimizzazione | L’utente è invitato a non inserire dati personali di terzi nelle domande. Log minimizzati. Nessuna decisione automatizzata ex art. 22: l’output è un supporto, validato da un tecnico abilitato |
3. Modalità del trattamento
I dati sono trattati con strumenti elettronici e automatizzati, con misure tecniche e organizzative adeguate a garantire sicurezza, riservatezza, integrità e disponibilità (art. 32 GDPR):
- Connessione cifrata HTTPS / TLS 1.3 su tutte le pagine
- Backup automatici cifrati e ridondati (livello fornitori Cloudflare + Supabase)
- Log di sistema per tracciabilità accessi amministrativi
- Aggiornamento periodico delle dipendenze software e dei certificati
Misure aggiuntive per aree riservate e funzioni autenticate (Tailored gate, Servizi Online): hash crittografico delle credenziali, controllo accessi a livello applicativo basato su ruoli, autenticazione multi-fattore per gli amministratori, procedure di disaster recovery documentate.
Nessuna decisione automatizzata o profilazione ai sensi dell’art. 22 GDPR.
3.bis — Trasparenza sull’uso dell’intelligenza artificiale (nuovo · servizio AI)
Il servizio Architetto Senior AI impiega sistemi di intelligenza artificiale per generare le risposte di consultazione normativa. In conformità ai principi di trasparenza dell’art. 50 del Regolamento (UE) 2024/1689 (“AI Act”) e alla Legge 132/2025 (intelligenza artificiale come supporto, non sostituzione dell’attività professionale), l’utente è informato che:
Stai interagendo con un sistema di intelligenza artificiale. «Architetto Senior AI» è uno strumento di supporto alla consultazione normativa, non sostituisce il parere e la responsabilità del professionista abilitato (Legge 132/2025). Le risposte citano gli articoli di legge con verifica automatica della citazione, ma vanno sempre verificate nel caso concreto.
Ambito d’uso dell’IA — nessuna selezione del personale. I sistemi di intelligenza artificiale impiegati dal Titolare sono destinati unicamente alla consultazione normativa. STUDIOFORMA non utilizza intelligenza artificiale per la selezione o l’assunzione del personale (cfr. §2.4) e non adotta, in tale ambito, decisioni automatizzate o profilazione ai sensi dell’art. 22 GDPR. I sistemi impiegati non rientrano tra quelli di cui all’Allegato III, punto 4, del Regolamento (UE) 2024/1689 (AI Act).
4. Categorie di destinatari dei dati — Responsabili (art. 28) · Autorizzati (art. 29) · Titolari autonomi (art. 24)
I dati personali sono comunicati esclusivamente ai soggetti di seguito elencati, ciascuno secondo il proprio ruolo: Responsabili del trattamento designati con apposito accordo ai sensi dell’art. 28 GDPR; persone autorizzate al trattamento ai sensi dell’art. 29 GDPR; Titolari autonomi ai sensi dell’art. 24 GDPR.
| Destinatario | Ruolo | Servizio | Sede / Trasferimento |
|---|---|---|---|
| Cloudflare Inc. | Responsabile esterno (art. 28) | Hosting Cloudflare Pages, CDN, protezione DDoS | USA — art. 46 GDPR con SCC 2021/914/UE + DPA |
| Supabase Inc. | Responsabile esterno (art. 28) | Database PostgreSQL, autenticazione, storage lead/newsletter, log consensi cookie | UE (Francoforte) / USA — SCC + DPA |
| Resend Inc. | Responsabile esterno (art. 28) | Email transazionali (form Contattaci, double opt-in newsletter) | USA — SCC + DPA |
| Anthropic PBC | Responsabile esterno (art. 28) | Modello linguistico (Claude API) che genera le risposte del servizio | USA — SCC 2021/914/UE + DPA · no training sui dati API |
| Voyage AI | Responsabile esterno (art. 28) | Embedding semantico delle query per il retrieval normativo | USA — SCC + DPA · esclusione dal training |
| Brave Software | Responsabile esterno (art. 28) | Ricerca web runtime (giurisprudenza/fonti su lacuna della knowledge base) | USA — SCC + DPA |
| Stripe Payments Europe | Responsabile esterno (art. 28) | Pagamenti e fatturazione abbonamenti (START/STUDIO/TOP) | IE/USA — SCC + DPA |
| Collaboratori interni e professionisti | Persone autorizzate (art. 29) | Istruttoria progetti, candidature, fatturazione | Italia |
| Studio commercialista | Titolare autonomo (art. 24) | Adempimenti fiscali e contabili | Italia |
| Autorità pubbliche | Titolare autonomo (in caso di obbligo) | Adempimenti normativi, Magistratura, Garante Privacy | — |
I dati non sono in alcun caso ceduti o venduti a terzi per finalità di marketing.
4.1 — Trasferimento dati extra-UE
I trasferimenti verso fornitori situati negli Stati Uniti avvengono sulla base di: Clausole Contrattuali Standard (SCC) approvate con Decisione 2021/914/UE; Data Processing Addendum sottoscritto con ciascun fornitore; adesione al Data Privacy Framework UE-USA ove applicabile (alla data dell’ultima verifica sul registro ufficiale, 07/06/2026: Cloudflare, Stripe, MongoDB/Voyage AI e Resend; per i restanti fornitori il trasferimento si fonda sulle Clausole Contrattuali Standard incorporate nei rispettivi Data Processing Addendum). La verifica è ripetuta con cadenza annuale. L’elenco aggiornato dei sub-responsabili è disponibile su richiesta scritta via PEC. Per il servizio Architetto Senior AI è mantenuta la region Supabase UE (Francoforte).
4.bis — Nessun addestramento dei modelli sui tuoi dati (nuovo · servizio AI)
I contenuti delle domande poste alla piattaforma non vengono utilizzati per addestrare modelli di intelligenza artificiale, né condivisi con terzi per tali finalità. I fornitori dei servizi di intelligenza artificiale non utilizzano i contenuti per addestrare i propri modelli: Anthropic per impostazione predefinita della modalità API; Voyage AI in forza dell’opzione contrattuale di esclusione dal training esercitata dal Titolare, con cancellazione dei contenuti subito dopo l’elaborazione. I dati sono elaborati per generare la risposta e tracciati per il conteggio delle quote e la sicurezza. Per i piani STUDIO, TOP ed Enterprise il contenuto della consultazione è inoltre conservato come cronologia a disposizione dell’utente (consultabile, esportabile e cancellabile); per il piano START il contenuto non è conservato in cronologia. In nessun caso i contenuti sono utilizzati per addestrare modelli di intelligenza artificiale.
5. Cookie e tecnologie similari
L’utilizzo di cookie e tecnologie similari (pixel, local storage, fingerprinting tecnico) è dettagliato nella Cookie Policy dedicata, accessibile dal footer di ogni pagina e dal banner di consenso. In sintesi:
- Cookie tecnici (sessione, preferenze, sicurezza): esenti da consenso ex art. 122 Codice Privacy
- Cookie analytics anonimizzati (Cloudflare Analytics): esenti da consenso se IP anonimizzato e dati non condivisi con terzi (provvedimento Garante 10 giugno 2021)
- Cookie marketing / profilazione: subordinati a consenso esplicito ex art. 7 GDPR, raccolto tramite banner cookie sviluppato internamente da STUDIOFORMA
Puoi gestire o revocare i consensi in qualsiasi momento dalla pagina Preferenze cookie e privacy.
6. Periodi di conservazione
| Categoria dati | Durata |
|---|---|
| Lead da form Contattaci (core/tailored/online) | 3 anni dal contatto |
| CV e dati candidati non assunti | 30 giorni dalla chiusura selezione |
| Dati lavorativi candidati assunti | Durata contrattuale + 10 anni (obblighi fiscali) |
| Iscritti newsletter (pubblica e whitelist) | Fino a revoca consenso · pulizia inattivi >24 mesi |
| Log di navigazione | 12 mesi |
| Query Architetto Senior AI — log tecnico/sicurezza (tutti i piani) | Configurabile (default 12 mesi), poi anonimizzazione |
| Query Architetto Senior AI — cronologia consultazioni (piani STUDIO/TOP/Enterprise) | Massimo 6 mesi dalla consultazione, poi cancellazione automatica · esportabile e cancellabile dall’utente in qualsiasi momento (art. 20 / art. 17) |
| Query Architetto Senior AI — piano START | Contenuto non conservato in cronologia · resta il solo conteggio query ai fini della quota |
Log consensi cookie (tabella cookie_consents su Supabase EU) | 10 anni (difendibilità reclamo Garante) |
| Dati fiscali e contabili | 10 anni ex art. 2220 Codice Civile |
Al termine del periodo, i dati sono anonimizzati o cancellati definitivamente dai sistemi del Titolare e dei Responsabili esterni.
7. Diritti dell’interessato (artt. 15-22 GDPR)
L’interessato può, in qualsiasi momento, esercitare i seguenti diritti:
| Diritto | Riferimento normativo | Cosa significa |
|---|---|---|
| Accesso | Art. 15 GDPR | Ottenere conferma del trattamento + copia dei dati |
| Rettifica | Art. 16 GDPR | Correzione dei dati inesatti o incompleti |
| Cancellazione (“oblio”) | Art. 17 GDPR | Eliminazione dei dati quando non più necessari, consenso revocato, o trattamento illecito |
| Limitazione | Art. 18 GDPR | Sospensione temporanea del trattamento in attesa di verifica |
| Portabilità | Art. 20 GDPR | Ricevere i propri dati in formato strutturato leggibile da dispositivo automatico e trasmetterli a un altro titolare |
| Opposizione | Art. 21 GDPR | Opporsi al trattamento basato su legittimo interesse o per marketing diretto |
| No decisioni automatizzate | Art. 22 GDPR | Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato (non applicato dal Titolare) |
| Revoca del consenso | Art. 7.3 GDPR | Ritirare il consenso in qualsiasi momento (senza pregiudicare la liceità del trattamento svolto prima) |
| Reclamo al Garante | Art. 77 GDPR | Proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) |
| Ricorso giurisdizionale | Art. 79 GDPR | Adire l’autorità giudiziaria italiana |
| Informativa sulla violazione | Art. 34 GDPR | Essere informato in caso di violazione che comporti rischio elevato per i diritti dell’interessato |
Self-service: chi ha un account può revocare i consensi, spuntare/togliere le categorie, esportare i propri dati e richiedere la cancellazione direttamente dalla pagina Preferenze cookie e privacy, senza dover scrivere. Restano sempre disponibili anche i canali PEC/email indicati di seguito.
7.1 — Modalità di esercizio dei diritti
L’interessato esercita i propri diritti inviando una richiesta scritta al Titolare. Canale principale (consigliato): PEC srlstudioforma@pec.it. Canale alternativo: email architettura@studioformasrl.com oppure raccomandata A/R a STUDIOFORMA srl — Via dell’Arcolaio 19/A — 50137 Firenze (FI).
Contenuto della richiesta: diritto/i che si intende esercitare; dati identificativi (nome, cognome, email utilizzata sul sito); copia di documento di identità per verifica. Tempo di risposta: 30 giorni dalla ricezione, prorogabili di ulteriori 60 in casi di particolare complessità (con comunicazione motivata all’interessato). Costo: la risposta è gratuita; solo richieste manifestamente infondate o eccessive possono comportare un contributo spese motivato.
7.2 — Reclamo al Garante
L’interessato può proporre reclamo al Garante per la Protezione dei Dati Personali: sito www.garanteprivacy.it · portale reclami online · Piazza Venezia 11 — 00187 Roma — +39 06 696771.
8. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate (art. 32 GDPR) per garantire la sicurezza dei dati:
- Crittografia in transito (HTTPS/TLS 1.3) e a riposo (database e backup)
- Controllo accessi basato su ruoli, autenticazione multi-fattore per gli amministratori
- Backup giornalieri ridondati e cifrati
- Aggiornamento periodico dei sistemi e delle dipendenze software
- Audit log per le operazioni critiche
- Procedura di gestione data breach (notifica al Garante entro 72h ex art. 33 GDPR)
- Formazione periodica del personale autorizzato
9. Trattamenti speciali
9.1 — Minori
Il sito non è rivolto a soggetti minori di 16 anni. Non sono raccolti consapevolmente dati di minori. In caso di evidenza, i dati saranno immediatamente cancellati.
9.2 — Dati particolari (art. 9 GDPR)
Il sito non raccoglie sistematicamente dati particolari (salute, origine etnica, opinioni politiche/religiose, vita o orientamento sessuale, dati biometrici/genetici). L’utente è invitato a non comunicarli nel campo libero descrizione progetto / lettera motivazionale / domande alla piattaforma, salvo necessità strettamente correlata al servizio richiesto e con consenso esplicito.
9.3 — Dati relativi a condanne penali (art. 10 GDPR)
Il sito non raccoglie dati relativi a condanne penali o reati.
10. Modifiche alla presente informativa
Il Titolare si riserva di modificare la presente informativa per adeguarla a: modifiche normative (GDPR, ePrivacy, AI Act, provvedimenti Garante); nuovi trattamenti o nuovi servizi offerti dal sito; cambi di fornitori (Responsabili esterni). Le modifiche sostanziali sono comunicate agli iscritti newsletter via email e segnalate con banner sul sito per almeno 30 giorni. La versione aggiornata è sempre disponibile su questa pagina con data di ultima modifica in testata.
Storico revisioni: v1.3 (11/06/2026) — §2.4 precisazione reclutamento solo interno, nessuna ricerca e selezione del personale per conto di terzi (D.Lgs. 276/2003 — Legge Biagi); §2.8 · §4.bis · §6 cronologia consultazioni tier-scoped (STUDIO/TOP/Enterprise, conservazione massimo 6 mesi · START senza cronologia). v1.2 (giugno 2026) — integrazione servizio Architetto Senior AI.
11. Contatti
| Canale | Indirizzo |
|---|---|
| PEC (consigliato) | srlstudioforma@pec.it |
| architettura@studioformasrl.com | |
| Telefono | +39 055 802 1594 |
| Posta | STUDIOFORMA srl — Via dell’Arcolaio 19/A — 50137 Firenze (FI) |
Documento redatto in conformità al Regolamento (UE) 2016/679, al D.lgs. 196/2003 come modificato dal D.lgs. 101/2018, al Reg. (UE) 2024/1689 (AI Act), alla Legge 132/2025, alle Linee Guida EDPB e ai Provvedimenti del Garante per la Protezione dei Dati Personali.
STUDIOFORMA srl — Privacy Policy Sito v1.3 — giugno 2026 (integrazione SaaS Architetto Senior AI · cronologia tier-scoped · ambito Careers · validata legalmente).