Informativa sulla Privacy
Ultimo aggiornamento: 2 luglio 2026 — CV Project S.r.l.
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è CV Project S.r.l., con sede legale in Via Giuseppe Romita 85, 15011 Acqui Terme (AL), Italia — P.IVA IT02707630063. Contatti: email info@cvproject.it, PEC cvprojectsrl@pec.it. Sito: korelab.app.
2. Dati raccolti
KoreLab raccoglie e tratta le seguenti categorie di dati:
- Dati identificativi e aziendali: nome, cognome, indirizzo email, password (cifrata) e — per la fatturazione — ragione sociale, partita IVA, codice SDI, PEC, indirizzo.
- Dati operativi: ingredienti, ricette, prodotti, fornitori, packaging, listini inseriti dall'utente nella piattaforma.
- Dati di pagamento: gestiti interamente da Stripe (fornitore certificato PCI DSS Livello 1). KoreLab non riceve, elabora né conserva i dati della carta.
- Dati di utilizzo: log di accesso, versione browser, indirizzi IP per sicurezza e diagnostica.
- Dati Google Calendar (opzionale): token OAuth per la sincronizzazione del calendario, memorizzati in forma cifrata. KoreLab accede solo agli eventi del calendario creati dalla stessa applicazione (scope
calendar.events). - Contenuti inviati all'assistente AI (opzionale, tutti i piani): le domande e i dati che scegli di sottoporre a "KoreLab AI" (vedi sez. 5-ter).
Non utilizziamo strumenti di analytics o profilazione di terze parti.
3. Finalità e base giuridica
- Erogazione del servizio SaaS KoreLab (esecuzione del contratto — art. 6.1.b GDPR).
- Gestione abbonamenti e fatturazione (obbligo legale — art. 6.1.c GDPR).
- Comunicazioni di servizio necessarie (es. conferma account, recupero password) — esecuzione del contratto (art. 6.1.b GDPR).
- Sincronizzazione con Google Calendar — solo su consenso esplicito dell'utente (art. 6.1.a GDPR).
- Utilizzo dell'assistente KoreLab AI (tutti i piani, su tua azione) — elaborazione dei messaggi tramite i fornitori AI per generare le risposte (art. 6.1.b GDPR).
- Miglioramento del servizio e sicurezza — legittimo interesse (art. 6.1.f GDPR).
- Marketing (novità e consigli sul prodotto): solo previo consenso esplicito, facoltativo e revocabile in ogni momento tramite il link di disiscrizione in ogni email o scrivendo a info@cvproject.it (art. 6.1.a GDPR).
4. Conservazione dei dati
Conserviamo i dati per il periodo necessario all'erogazione del servizio e per adempiere agli obblighi di legge:
- Dati dell'account: fino alla cancellazione dell'account da parte dell'utente.
- Dati di fatturazione: 10 anni (obbligo fiscale italiano).
- Dati tecnici e log: massimo 12 mesi.
- Token Google Calendar: eliminati immediatamente alla disconnessione.
Dopo la cancellazione dell'account, i dati vengono eliminati entro 30 giorni dai nostri sistemi, salvo obblighi di legge.
5. Condivisione con terze parti
KoreLab si avvale dei seguenti responsabili del trattamento (art. 28 GDPR):
- Supabase — database e autenticazione (regione UE, Francoforte).
- Stripe — elaborazione pagamenti e fatturazione.
- Vercel — hosting dell'applicazione (app.korelab.app).
- Netlify — hosting di questo sito (korelab.app).
- Resend — invio email transazionali (conferma account, recupero password) e, previo consenso, comunicazioni.
- Anthropic e OpenAI — fornitori del modello dell'assistente "KoreLab AI" (vedi sez. 5-ter).
- Google — solo se attivi la sincronizzazione con Google Calendar (OAuth).
Tutti i fornitori extra-UE operano con Standard Contractual Clauses (SCC) e Data Processing Agreement. Nessun dato viene venduto a terzi né utilizzato per scopi pubblicitari.
5-bis. Condivisione controllata del fascicolo con il consulente/auditor
Su iniziativa dell'azienda, KoreLab consente di generare uno snapshot — una copia di sola lettura, immutabile e a una certa data, del fascicolo certificativo — da condividere con il proprio consulente HACCP tramite un link a scadenza revocabile.
- Cosa contiene: stato certificativo (requisiti, manuale, limiti/CCP) e registrazioni operative, incluso il nome dell'operatore e l'eventuale firma elettronica semplice (PIN) di chi ha registrato. Non include i dati grezzi di re-import né segreti (i PIN non sono mai inclusi).
- Base giuridica: esecuzione del contratto di consulenza / legittimo interesse dell'azienda (art. 6.1.b/f GDPR). La condivisione è decisa e attivata esclusivamente dall'azienda.
- Ruoli: KoreLab tratta i dati come responsabile dell'azienda (art. 28 GDPR); il consulente è destinatario designato dall'azienda e riceve una fotografia statica, non un accesso ai dati in tempo reale.
- Durata e revoca: il link ha una scadenza impostata dall'azienda ed è revocabile in qualsiasi momento. La revoca impedisce nuove aperture ma non può cancellare copie eventualmente già scaricate dal consulente.
- Conservazione: la copia condivisa viene eliminata alla scadenza o alla revoca del link; i log di apertura sono conservati al massimo 12 mesi.
5-ter. Assistente KoreLab AI
L'assistente "KoreLab AI" elabora i tuoi input solo quando lo usi attivamente (non in background). Viene inviata la tua domanda e, nei piani con AI completa, i dati di contesto pertinenti (es. estratti del manuale, prodotti, ricette) necessari a rispondere. In modalità "vendor" (a carico di KoreLab) il contenuto è trasmesso ad Anthropic (USA) e, in fallback, OpenAI (USA) via API; se usi chiavi API tue (BYOK), il contenuto va al provider che hai scelto. I fornitori AI utilizzati via API non usano i tuoi contenuti per addestrare i loro modelli. Ti consigliamo di non inserire dati personali non necessari nelle domande. Le risposte dell'AI sono generate automaticamente e possono contenere imprecisioni: vanno sempre verificate, specie su temi normativi e di sicurezza alimentare.
6. Diritti dell'interessato
In conformità al GDPR (artt. 15-22) hai il diritto di: accesso, rettifica, cancellazione (diritto all'oblio), limitazione del trattamento, portabilità dei dati e opposizione al trattamento.
Puoi esercitare in autonomia la portabilità (art. 20) e la cancellazione dell'account e dei dati (art. 17) direttamente dall'app (Account → Privacy & GDPR) o dalla pagina pubblica app.korelab.app/privacy.html#elimina-account. Per gli altri diritti scrivi a info@cvproject.it: rispondiamo entro 30 giorni.
7. Cookie
KoreLab utilizza esclusivamente cookie tecnici/funzionali necessari al funzionamento del servizio (sessione autenticata, preferenze) e LocalStorage per il salvataggio della sessione utente. Non vengono utilizzati cookie di profilazione o di terze parti a fini pubblicitari. I caratteri tipografici sono self-hosted (nessuna chiamata a Google Fonts). Per il dettaglio vedi la Cookie Policy.
8. Sicurezza dei dati
Adottiamo misure tecniche e organizzative adeguate: crittografia TLS/HTTPS per tutte le comunicazioni, database crittografato a riposo (Supabase), Row Level Security (ogni utente accede esclusivamente ai propri dati), autenticazione con token JWT, nessun dato di pagamento memorizzato (gestito da Stripe) e backup automatici del database.
9. Trasferimenti internazionali
Il database e l'autenticazione (Supabase) sono ospitati nell'Unione Europea (Francoforte). Alcuni altri fornitori (Stripe, Vercel, Netlify, Resend, Anthropic, OpenAI, Google) possono trattare dati negli USA. Tali trasferimenti avvengono nel rispetto del Capo V del GDPR tramite Standard Contractual Clauses (SCC) approvate dalla Commissione Europea, Data Processing Agreement con ciascun fornitore e, ove applicabile, adesione all'EU-U.S. Data Privacy Framework.
10. Minori
KoreLab è un servizio destinato a professionisti e aziende. Non raccogliamo consapevolmente dati di persone di età inferiore a 18 anni. Se sei genitore o tutore e ritieni che tuo figlio abbia fornito dati personali, contattaci a info@cvproject.it.
11. Modifiche alla presente informativa
Ci riserviamo il diritto di aggiornare questa informativa. Le modifiche sostanziali verranno comunicate via email agli utenti registrati e la versione aggiornata sarà sempre disponibile su questa pagina con la data dell'ultima modifica.
12. Autorità di controllo
Hai il diritto di proporre reclamo all'autorità di controllo competente. In Italia: Garante per la protezione dei dati personali — Piazza Venezia 11, 00187 Roma — garanteprivacy.it. Gli utenti di altri Paesi possono rivolgersi all'autorità del proprio Stato.
13. Contatti
Per qualsiasi domanda relativa alla presente informativa: info@cvproject.it