Informativa sulla Privacy

1. Titolare del trattamento

VibeCoded Tools è gestito da Martino Cesaratto (P. IVA: 17127741001).

Email contatto privacy: team@vibecodedtools.com.

Non è stato nominato un Responsabile della Protezione dei Dati (DPO) — il titolare non rientra nei criteri obbligatori dell'art. 37 GDPR (no monitoraggio sistematico su larga scala, no trattamenti su larga scala di categorie particolari).

2. Quali dati raccogliamo e perché

Lista d'attesa (waitlist): nome, indirizzo email, lingua preferita (en/it), nome del prodotto a cui ti iscrivi. Raccolti tramite il form sul nostro sito e salvati nel nostro database Supabase. L'email di conferma viene inviata da una funzione edge Supabase tramite IONOS SMTP — non utilizziamo piattaforme di email marketing di terze parti.

Clienti a pagamento (futuri): chiave di licenza, hash della machine-id (no identificatore hardware in chiaro), email di fatturazione tramite Lemon Squeezy.

Telemetria orchestrator: per default DISABILITATA. L'installer ti chiede esplicitamente; se rispondi No (default), nessun dato viene inviato. Puoi cambiare in qualsiasi momento dalle impostazioni del launcher.

Cookie: solo cookie tecnici di base. Cookie di analitica/marketing solo previo consenso esplicito (vedi sezione Cookie più sotto).

3. Base giuridica del trattamento (art. 6 GDPR)

Lista d'attesa: legittimo interesse (art. 6.1.f) a comunicare con utenti che ci hanno espressamente chiesto di essere notificati al lancio. Puoi opporti in qualsiasi momento (vedi sezione Diritti).

Email di marketing successive (newsletter): consenso esplicito (art. 6.1.a). Casella di iscrizione separata, opt-in inequivocabile, revoca con un click.

Clienti a pagamento: esecuzione del contratto (art. 6.1.b).

Conservazione log di sicurezza minimi: legittimo interesse alla protezione dell'infrastruttura (art. 6.1.f).

4. Destinatari dei dati (chi vede i tuoi dati)

Supabase Inc. (Stati Uniti, regione us-east-1) — database operativo, backend, e funzioni edge che inviano email transazionali. Trattamento basato su Standard Contractual Clauses + DPA. Stiamo valutando la migrazione alla regione eu-central per ridurre il trasferimento extra-UE.

IONOS SE (Germania, UE) — provider SMTP transazionale (singolo canale) invocato dalla funzione edge Supabase per inviare le email di conferma waitlist e gli ack di richieste GDPR. Trattamento all'interno dello SEE; nessun trasferimento extra-UE per il flusso email.

Non utilizziamo piattaforme di email marketing di terze parti (es. Mailchimp, Loops, ConvertKit, Resend). Tutte le email transazionali vengono inviate direttamente dalla nostra infrastruttura Supabase + IONOS.

Vercel Inc. (Stati Uniti) — hosting del sito, log di accesso. SCC + DPA.

Lemon Squeezy LLC (Stati Uniti, controllata Stripe) — gestione pagamenti e fatturazione, solo per clienti a pagamento. SCC + DPA.

Non vendiamo, affittiamo o cediamo i tuoi dati a terzi per finalità di profilazione o pubblicità mirata.

5. Trasferimento extra-UE (art. 44-49 GDPR)

Supabase, Vercel e Lemon Squeezy hanno sede negli Stati Uniti. Il trasferimento avviene sulla base delle Standard Contractual Clauses approvate dalla Commissione UE nel 2021 (Decisione 2021/914) e, ove i fornitori risultino certificati, sulla base del Data Privacy Framework UE-USA. IONOS è un fornitore con sede nello SEE e non comporta trasferimento extra-UE.

Lo stato di certificazione DPF di ciascun fornitore extra-UE (Vercel, Supabase, Lemon Squeezy) è verificato pubblicamente sul registro ufficiale https://www.dataprivacyframework.gov/list e tracciato nel nostro registro interno (site/docs/PRIVACY_COMPLIANCE.md). I DPA firmati con tutti i sub-responsabili sono conservati dal Titolare e disponibili su richiesta.

Prima del lancio commerciale Pro, prevediamo la migrazione di Supabase alla regione UE (Frankfurt o Irlanda) — il trigger è 50+ clienti UE oppure un pronunciamento del Garante sul rischio Schrems II per Supabase US.

6. Periodo di conservazione

Lista d'attesa: 12 mesi dall'ultima interazione (apertura email, click). Dopo questo periodo i dati vengono cancellati o anonimizzati.

Clienti a pagamento: per la durata della sottoscrizione + 10 anni per obblighi fiscali italiani (DPR 633/1972 + art. 2220 c.c.). I dettagli operativi (machine-id-hash, log) si cancellano 12 mesi dopo la fine del contratto.

Log di accesso al sito (Vercel): 30 giorni.

Telemetria opt-in dell'orchestrator (se attivata dall'utente): conservata in forma aggregata per 90 giorni; eventi individuali cancellati dopo 30 giorni.

7. I tuoi diritti (art. 15-22 GDPR)

Hai diritto di accedere ai tuoi dati, correggerli, cancellarli, ottenere la loro portabilità, opporti al trattamento e revocare il consenso in qualsiasi momento.

Per esercitare uno qualsiasi di questi diritti, scrivici a team@vibecodedtools.com. Ti rispondiamo entro 30 giorni (art. 12.3 GDPR), prorogabili una sola volta di altri 60 giorni in caso di richieste complesse.

Hai inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (https://www.gpdp.it), Piazza Venezia 11, 00187 Roma — telefono +39 06 696771 — o all'autorità del tuo Stato membro UE di residenza.

8. Conferimento obbligatorio o facoltativo

Lista d'attesa: il conferimento di nome ed email è facoltativo. Se non li fornisci, semplicemente non potremo notificarti al lancio.

Clienti a pagamento: il conferimento di email e dati di fatturazione è obbligatorio per finalizzare l'acquisto (esecuzione del contratto e obblighi fiscali). Senza questi dati l'acquisto non è possibile.

9. Decisioni automatizzate e profilazione

Non eseguiamo decisioni automatizzate o profilazione produttive di effetti giuridici sull'utente (art. 22 GDPR).

Il reranker RL della versione Pro è un componente lato client che gira sulla tua macchina e non invia dati a noi né influisce su altri utenti.

10. Cookie

Usiamo solo cookie tecnici per le funzioni essenziali del sito (preferenza lingua, stato del consenso cookie). Questi non richiedono consenso preventivo.

Cookie di analitica e marketing: attualmente non installiamo cookie di analitica di terze parti (no Google Analytics, no Plausible, no Vercel Analytics). Se in futuro li introdurremo, comparirà un banner di consenso conforme alle linee guida del Garante (10 giugno 2021): X in alto a destra per chiudere senza consenso, pulsanti 'Rifiuta' e 'Accetta tutti' di pari evidenza, opzione 'Personalizza' con categorie deselezionate per default.

Stato attuale del tuo consenso e revoca: clicca su 'Impostazioni cookie' nel footer.

11. Privacy by design (orchestrator open-source)

L'orchestrator è progettato per minimizzare la raccolta di dati. La telemetria è OFF per default; l'installer ti chiede esplicitamente, e se rispondi No (default) nessun dato viene mai inviato.

Puoi attivare/disattivare la telemetria in ogni momento dal launcher: Impostazioni → Preferenze → Privacy.

Puoi controllare cosa verrebbe inviato eseguendo `vct-cli telemetry pending` — restituisce il payload esatto in attesa di invio.

Tutti i dati del knowledge graph e del code graph rimangono sulla tua macchina. Non vengono mai trasmessi ai nostri server.

12. Modifiche a questa policy

Ultima modifica: 2026-04-26 — versione 1.

Modifiche sostanziali (cambio dei destinatari, della base giuridica, dei periodi di conservazione) saranno notificate via email agli utenti registrati, con almeno 30 giorni di preavviso.

Lo storico delle versioni è disponibile nel changelog del repository GitHub del sito.

Jurisdiction-specific rights

We detected your likely jurisdiction as Other / Not listed. This is an estimate based on your browser timezone and language — it is not authoritative. You can change it here, and your selection will be saved on this device: