Informazioni legali GrowToPrime: privacy, cookie e termini in chiaro, senza pagine nascoste.
Il cluster Legali raccoglie i tre documenti che regolano il rapporto tra GrowToPrime e chi utilizza il sito, richiede informazioni commerciali o sottoscrive un servizio. Privacy policy, cookie policy e termini di servizio: tre testi vincolanti, scritti per essere letti davvero, aggiornati a ogni modifica sostanziale, allineati a GDPR Reg. UE 2016/679, Codice Privacy D.lgs 196/2003 e Codice Civile italiano. Questa pagina e l’indice navigazionale: i contenuti vincolanti vivono nelle pagine figlie linkate qui sotto.
Cluster: privacy policy, cookie policy, termini e condizioni. Tre documenti, una sola filosofia: trasparenza operativa e zero clausole nascoste.
→
→
→
Una software house B2B non puo lavorare senza documenti legali in chiaro: troppi attori sensibili nella catena.
GrowToPrime tratta dati di lead commerciali, dati di clienti aziendali, dati operativi dei sistemi gestionali a cui si integra, dati di test forniti per audit di performance e sicurezza. Ogni interazione con il sito o con i nostri servizi attiva almeno una base giuridica di trattamento, almeno un obbligo contrattuale, almeno un vincolo normativo. I cinque ambiti seguenti spiegano perche un’azienda B2B che lavora con CRM, AI e dati gestionali non puo permettersi di avere documenti legali generici, copiati da template o disallineati rispetto al servizio reale erogato.
GDPR Reg. UE 2016/679 e responsabilita reale
Il GDPR non e una formalita: prevede sanzioni fino al 4% del fatturato e responsabilita personale del titolare. Una privacy policy vaga o copiata espone l’azienda a contestazioni del Garante e a richieste di esercizio diritti che non si sa come gestire. Documenti chiari proteggono prima l’azienda e poi gli utenti.
Fatturazione elettronica e conservazione 10 anni
Le fatture elettroniche italiane vanno conservate digitalmente per 10 anni con processo a norma. I termini di servizio devono dichiarare come avviene la conservazione, dove sono i dati, chi li puo consultare, come vengono restituiti al cessare del rapporto. Un termine generico su questo punto crea problemi seri al primo controllo fiscale.
Contratti SaaS, SLA e limiti di responsabilita
I servizi SaaS B2B vivono di contratti pluriennali con SLA dichiarati. Termini di servizio chiari su uptime, finestre di manutenzione, gestione incidenti, esclusioni, limitazioni di responsabilita evitano contenziosi futuri. La giurisprudenza italiana e severa con SLA non documentati: meglio chiarire prima.
Responsabilita su dati clienti del cliente
Quando integriamo un CRM o automatizziamo processi, trattiamo dati di terzi che il cliente ci affida. Diventiamo responsabili del trattamento ex art. 28 GDPR e firmiamo DPA dedicati. Il cluster legali documenta questa catena: chi e titolare, chi e responsabile, chi e subprocessor, quali misure di sicurezza si applicano.
Conservazione documentale a norma
Email commerciali, preventivi, contratti, comunicazioni operative: tutto va conservato secondo regole precise (10 anni per scritture contabili, durata variabile per altri documenti). I termini dichiarano dove e per quanto restano i dati, evitando che il cliente scopra dopo anni di non avere accesso a un file critico per un audit.
Tre pagine vincolanti, una sola filosofia di trasparenza operativa.
Ogni documento ha una funzione specifica e si rivolge a un momento diverso della relazione. La privacy policy disciplina il trattamento dei dati personali, la cookie policy disciplina il tracciamento sul sito, i termini regolano il rapporto contrattuale per chi sottoscrive un servizio. Tutti e tre sono linkati nel footer e accessibili in ogni pagina del sito.
Privacy Policy
Il documento che descrive come trattiamo i dati personali raccolti tramite sito, form contatti, richieste preventivo, sottoscrizione servizi e attivita commerciali. Indica titolare del trattamento, basi giuridiche per ciascuna finalita, categorie di dati raccolti, tempi di conservazione, soggetti a cui i dati possono essere comunicati, eventuali trasferimenti extra-UE con garanzie adeguate, diritti dell’interessato e modalita per esercitarli. E la pagina di riferimento per chiunque voglia sapere come usiamo le informazioni che riceviamo.
Cookie Policy
Il documento che descrive in dettaglio l’uso di cookie e tecnologie simili sul sito growtoprime.com. Distingue tra cookie tecnici essenziali (sempre attivi), cookie analitici anonimizzati (per misurare prestazioni del sito) ed eventuali cookie di terze parti. Per ciascuna categoria indica fornitore, finalita, durata, base giuridica e modalita di gestione del consenso tramite il banner. Documenta anche gli strumenti di analytics utilizzati e le impostazioni di privacy adottate verso i provider esterni.
Termini e Condizioni
Il documento contrattuale che regola l’utilizzo dei servizi GrowToPrime, dei contenuti del sito e dell’eventuale accesso ad aree riservate. Disciplina diritti e doveri di GrowToPrime e del cliente, modalita di erogazione, SLA, prezzi e fatturazione, durata e rinnovo, recesso, limitazioni di responsabilita, foro competente, gestione del contenzioso e clausole specifiche per servizi SaaS, consulenza, sviluppo personalizzato. E la base giuridica del rapporto commerciale per chi sottoscrive un’offerta.
Quattro famiglie di norme che governano i nostri documenti legali, citate esplicitamente nelle pagine vincolanti.
Ogni clausola dei nostri documenti rinvia a una norma primaria identificabile. Non c’e clausola “perche si dice cosi”: c’e clausola “perche l’art. X del Reg. Y prevede questa modalita”. Citare le fonti rende i documenti verificabili e protegge entrambe le parti dalle interpretazioni opportunistiche.
GDPR – Regolamento UE 2016/679
Norma di riferimento europea sulla protezione dei dati personali. Direttamente applicabile in tutti gli Stati membri, prevede principi di liceita, correttezza, minimizzazione, limitazione delle finalita e conservazione, integrita e responsabilizzazione. La nostra privacy policy ne richiama gli articoli rilevanti per ciascuna finalita.
Codice Privacy – D.lgs 196/2003
Decreto legislativo italiano che integra il GDPR per il contesto nazionale, aggiornato dal D.lgs 101/2018. Definisce il ruolo del Garante per la protezione dei dati, le sanzioni amministrative italiane, i provvedimenti specifici settore per settore. Il combinato GDPR + Codice Privacy e il riferimento per ogni trattamento condotto in Italia.
Codice Civile italiano
I termini di servizio sono contratti commerciali e seguono le regole del Codice Civile italiano: artt. 1321 e seguenti per disciplina generale dei contratti, art. 1341 e 1342 per clausole vessatorie, art. 2697 sull’onere della prova. La giurisprudenza B2B richiede chiarezza sulle clausole limitative di responsabilita: i nostri termini le evidenziano.
Normative settoriali e Provvedimenti del Garante
Per clienti che operano in settori regolati (sanita, finanza, pubblica amministrazione) si applicano norme aggiuntive: Provvedimenti del Garante su cookie e tracker (giugno 2021), Codice del Consumo per B2C, Provvedimento 2014 amministratori di sistema, linee guida AGID per pubblica amministrazione. I documenti specifici cliente le richiamano esplicitamente.
Quattro principi operativi che guidano il trattamento dei dati che riceviamo dai clienti.
I principi GDPR non restano teorici: si traducono in scelte tecniche e organizzative documentabili. Quando un cliente ci affida dati per un progetto di automazione AI, integrazione CRM o audit performance, applichiamo questi quattro principi a ogni passaggio della pipeline.
Minimizzazione
Riceviamo dal cliente solo i dati strettamente necessari per il task contrattualizzato. Se per un audit performance servono URL e log di accesso, non chiediamo anche le email dei clienti finali. Se per un’integrazione CRM serve un export di anagrafica, non chiediamo dati di pagamento. Ogni richiesta di dati e tracciata con base giuridica esplicita e finalita dichiarata.
Finalita esplicite
Ogni trattamento ha una finalita documentata: erogazione del servizio contrattualizzato, gestione del rapporto commerciale, adempimenti fiscali, sicurezza dei sistemi. Non riutilizziamo dati ricevuti per un progetto in altri contesti senza consenso esplicito. Le finalita sono indicate nella privacy policy e, per progetti dedicati, nel contratto e nel DPA.
Conservazione limitata
Ogni categoria di dati ha un tempo di conservazione documentato. Dati di lead non convertiti: 24 mesi. Dati commerciali e contratti: 10 anni come da Codice Civile. Dati di test forniti per audit: 90 giorni dopo la chiusura del progetto, salvo richiesta scritta di conservazione estesa. Allo scadere del termine i dati vengono cancellati o anonimizzati.
Cancellazione tracciata
La cancellazione dei dati avviene con processo verificabile: rimozione da database operativi, rimozione da backup attivi entro il ciclo di rotazione, comunicazione ai subprocessor coinvolti. Per richieste formali di cancellazione (art. 17 GDPR) emettiamo conferma scritta della avvenuta esecuzione, salvo i casi di conservazione obbligatoria per legge che vengono comunicati con motivazione.
Quattro diritti che ogni interessato puo esercitare in qualunque momento, gratuitamente, con risposta entro 30 giorni.
Il GDPR riconosce diritti precisi a chiunque venga interessato da un trattamento dati personali. GrowToPrime garantisce l’esercizio di ogni diritto tramite un canale email dedicato, con tracciatura della richiesta e risposta motivata. Non chiediamo mai compensi per l’esercizio dei diritti: e gratuito per design, come previsto dalla normativa.
Diritto di accesso (art. 15)
L’interessato puo chiedere conferma dell’esistenza di trattamenti che lo riguardano, ottenere copia dei dati personali trattati, conoscere finalita, categorie, destinatari, tempi di conservazione, esistenza di processi automatizzati. La risposta arriva entro 30 giorni in formato leggibile e completo, con eventuale estensione motivata fino a 60 giorni per casi complessi.
Diritto di rettifica (art. 16)
Se i dati personali trattati sono inesatti o incompleti, l’interessato puo chiederne la correzione o l’integrazione. Procediamo entro 30 giorni alla rettifica nei sistemi operativi e comunichiamo l’aggiornamento agli eventuali destinatari a cui i dati erano stati comunicati, salvo che cio si riveli impossibile o richieda uno sforzo sproporzionato.
Diritto di cancellazione (art. 17)
Conosciuto come “diritto all’oblio”, consente di chiedere la cancellazione dei dati quando non sono piu necessari per le finalita originarie, quando viene revocato il consenso, quando il trattamento e illecito. La cancellazione avviene entro 30 giorni, salvo casi di conservazione obbligatoria per legge (es. fatturazione, contenzioso pendente, ordini di autorita) che vengono comunicati con motivazione.
Diritto di portabilita (art. 20)
L’interessato puo ricevere in formato strutturato e leggibile da macchina (JSON, CSV) i dati personali che ha fornito, e farli trasmettere a un altro titolare quando tecnicamente possibile. Il diritto si applica ai trattamenti basati su consenso o contratto effettuati con strumenti automatizzati. Procediamo entro 30 giorni con file firmati digitalmente per autenticita.
Una visione lunga sul ruolo della compliance legale in un’azienda B2B che lavora con dati e AI.
La compliance legale e diventata, nell’ultimo decennio, uno dei principali fattori di fiducia commerciale tra aziende B2B. Quando un cliente enterprise valuta un fornitore di servizi tecnologici, la prima cosa che chiede non e il prezzo o il portfolio: e la documentazione legale. Privacy policy aggiornata, termini di servizio chiari, DPA pronto da firmare, elenco subprocessor verificabile, certificazioni o almeno aderenza a framework riconosciuti. Una software house che presenta documenti legali sciatti, copiati o disallineati rispetto al servizio reale viene scartata in fase di vendor onboarding, anche se la proposta tecnica e ottima. La compliance non e un costo: e un abilitatore commerciale, perche permette di entrare in pipeline che altrimenti restano chiuse.
Il GDPR e cambiato profondamente nei sette anni dalla sua entrata in vigore (maggio 2018). All’inizio molte aziende italiane hanno reagito con il minimo sforzo: cookie banner accettato in massa, privacy policy generica copiata da template, DPO nominato pro forma. Quel periodo e finito. Le ispezioni del Garante si sono fatte piu mirate, le sanzioni piu salate, la giurisprudenza piu solida. Aziende che nel 2018 si erano accontentate del minimo si sono trovate nel 2023-2025 a dover ricostruire da zero il proprio impianto privacy sotto pressione di un cliente, di un audit o di un reclamo. Aggiornare i documenti legali con regolarita – non solo quando capita un problema – e una forma di gestione del rischio operativo, non un capriccio normativo.
Negli ultimi due anni un nuovo terreno e diventato critico: il rapporto tra AI e dati aziendali. Quando un’azienda invia dati propri a un Large Language Model commerciale per task di classificazione o generazione, quei dati attraversano confini legali precisi. Possono essere usati per addestramento futuro? Restano in territorio europeo? Sono conservati cifrati? Quale base giuridica giustifica il trattamento? Le grandi piattaforme AI hanno risposte diverse e le risposte cambiano nel tempo. La nostra privacy policy e i nostri termini documentano esplicitamente quali modelli AI usiamo, dove operano, quali dati possono ricevere e con quali tutele. Il cliente che lavora con noi su progetti di automazione AI sa esattamente come e dove vengono trattati i suoi dati, perche e scritto nei documenti vincolanti, non in slide commerciali.
Un tema sempre piu centrale e la residenza dei dati e il cloud sovrano. Per molti settori italiani (pubblica amministrazione, sanita, finanza) i dati non possono uscire dall’Europa, e in alcuni casi neppure dall’Italia. Il regolamento europeo sui mercati digitali, il framework di adeguatezza con paesi terzi e i provvedimenti del Garante hanno reso questo aspetto operativamente complesso. Nei nostri documenti legali dichiariamo dove sono ospitati i dati, quali subprocessor extra-UE eventualmente intervengono e con quali garanzie (clausole contrattuali standard, certificazioni di adeguatezza). Per clienti soggetti a vincoli di residenza stretta possiamo usare modelli AI self-hosted in cloud privato europeo, con configurazione documentata caso per caso.
La gestione di un data breach e un altro punto dove i documenti legali devono essere chiari. Il GDPR impone notifica al Garante entro 72 ore dalla scoperta della violazione, comunicazione agli interessati quando c’e rischio elevato, registrazione interna di ogni breach anche minore. I nostri termini e la privacy policy descrivono il processo: come rileviamo un incidente, chi viene avvisato, in quanto tempo, con quale livello di dettaglio. Avere una procedura scritta e testata – non improvvisata sotto pressione – fa la differenza tra un incidente gestito professionalmente e una crisi reputazionale. I clienti enterprise chiedono spesso di vedere la procedura di breach prima di firmare un contratto: e un tema operativo, non teorico.
Infine il ruolo del DPO o responsabile della protezione dei dati. Per aziende B2B della nostra dimensione la nomina formale di un DPO non e sempre obbligatoria, ma definire un punto di riferimento interno per le questioni privacy lo e di fatto. Il responsabile interno coordina le richieste di esercizio diritti, gestisce i rapporti con il Garante in caso di necessita, mantiene aggiornato il registro dei trattamenti, supervisiona la formazione del personale, valida i DPA con i clienti enterprise. Nei nostri documenti legali e indicato il punto di contatto a cui inviare richieste formali in materia di protezione dati, con email dedicata e tempi di risposta dichiarati. Questa figura e attiva, non un nome scritto sul documento per riempire il campo: ogni richiesta riceve risposta motivata entro i termini di legge, ogni anomalia viene tracciata, ogni evoluzione normativa viene incorporata nei testi vincolanti. La compliance legale di un’azienda B2B che lavora con dati e AI non e un attestato statico: e una pratica organizzativa continua che si vede, si misura e si verifica nei documenti pubblicati. Le pagine figlie di questo cluster sono il risultato visibile di quella pratica.
FAQ Informazioni Legali
Le domande piu frequenti sui documenti legali di GrowToPrime e sulla gestione dei dati.
Dove trovo informazioni dettagliate sulla privacy?
Le informazioni dettagliate sul trattamento dati personali, basi giuridiche, finalita, tempi di conservazione e diritti dell’utente sono nella pagina Privacy Policy raggiungibile da /legali/privacy-policy/. La pagina e aggiornata ad ogni modifica sostanziale del trattamento e indica sempre la data di ultima revisione. Per dubbi specifici si puo contattare direttamente il titolare del trattamento attraverso i recapiti pubblicati.
Come posso richiedere la cancellazione dei miei dati?
La richiesta di cancellazione dati (diritto all’oblio, art. 17 GDPR) si invia per email al titolare del trattamento usando l’indirizzo indicato nella privacy policy. La richiesta viene processata entro 30 giorni dalla ricezione, salvo casi che richiedono conservazione obbligatoria per legge (es. fatturazione: 10 anni come da Codice Civile). In caso di obblighi di conservazione comunichiamo le motivazioni e la data di cancellazione effettiva.
Usate cookie di profilazione?
Su growtoprime.com utilizziamo solo cookie tecnici essenziali per il funzionamento del sito e cookie analitici anonimizzati per misurare le prestazioni delle pagine. Non utilizziamo cookie di profilazione di terze parti per advertising mirato. Il dettaglio completo, con elenco dei cookie, finalita, durata e fornitori, e nella pagina Cookie Policy. Il banner di consenso permette di accettare o rifiutare le categorie non strettamente tecniche.
Siete certificati ISO o adottate standard di sicurezza?
GrowToPrime adotta misure di sicurezza tecniche e organizzative coerenti con l’art. 32 GDPR: cifratura dati a riposo e in transito, controllo accessi con autenticazione robusta, backup periodici, log di audit, segregazione ambienti. Non siamo attualmente certificati ISO 27001 ma seguiamo i principali controlli del framework. Per clienti enterprise che richiedono certificazione formale possiamo concordare audit specifici e documentazione DPA dedicata.
Chi e il titolare del trattamento dei dati?
Il titolare del trattamento e l’azienda che opera growtoprime.com, con sede legale e recapiti pubblicati nella pagina Privacy Policy e nei contatti del sito. La responsabilita del trattamento include la definizione di finalita, basi giuridiche, durata di conservazione e modalita di esercizio dei diritti. Per richieste formali in materia di dati personali il riferimento e l’indirizzo email del titolare indicato nella privacy policy.
Quanto conservate i dati commerciali e contrattuali?
I dati commerciali (preventivi, contratti, fatture, comunicazioni di lavoro) vengono conservati per 10 anni come previsto dal Codice Civile italiano per le scritture contabili e dalla normativa fiscale. I dati di lead non convertiti in clienti vengono conservati per 24 mesi e poi cancellati o anonimizzati. I dati di newsletter restano attivi finche l’utente non si disiscrive. Tempi specifici per categoria sono nella privacy policy.
Avete subprocessor o fornitori terzi che trattano i dati?
Si, ci avvaliamo di alcuni fornitori terzi (subprocessor) per servizi tecnologici: hosting cloud, email transazionale, sistemi di analytics anonimizzati, modelli AI commerciali per casi d’uso linguistici. L’elenco completo dei subprocessor con sede operativa, finalita di trattamento e adeguatezza GDPR e disponibile nella privacy policy. Tutti i fornitori sono vincolati da DPA conformi all’art. 28 GDPR.
Hai una domanda specifica su privacy, contratti, DPA o conservazione dati?
Per richieste formali di esercizio diritti, audit di compliance, DPA personalizzati per progetti enterprise o chiarimenti sui documenti legali, scrivi al titolare del trattamento usando i recapiti pubblicati. Ogni richiesta riceve risposta motivata entro 30 giorni.