Torna alla home

Privacy Policy

Informativa sul trattamento dei dati personali ai sensi del Regolamento UE 2016/679 (GDPR)

Ultimo aggiornamento: 2026-05-23· Versione 1.3

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è il gestore di Bandoperte, contattabile attraverso il modulo presente alla pagina /contatti del Servizio.

In caso di richieste specifiche relative alla protezione dei dati, indica nel modulo l'oggetto "Privacy / GDPR" per ricevere risposta prioritaria.

2. Categorie di Dati Personali Raccolti

Bandoperte raccoglie e tratta le seguenti categorie di dati:

Dati di registrazione: indirizzo email, password (memorizzata in forma hashed e cifrata, mai in chiaro), e/o identificativo Google se accedi tramite OAuth.

Dati del curriculum (Categoria 1): dati anagrafici (nome, data di nascita, residenza), titoli di studio (lauree, diplomi, certificazioni), esperienze lavorative, certificazioni linguistiche e informatiche.

Dati anagrafici opzionali (Categoria 1): sesso (autodichiarato).

Dati categorie protette (Categoria sensibile — art. 9 GDPR): se l'Utente fornisce volontariamente informazioni sull'appartenenza a categorie protette (es. disabilità ai sensi della L. 68/99), questi sono trattati con base giuridica del consenso esplicito (art. 9 par. 2 lett. a GDPR).

Dati di utilizzo: log degli accessi, indirizzo IP, tipo di browser/dispositivo, pagine visitate, match generati.

Dati di pagamento: gestiti esclusivamente da Stripe (PCI-DSS certificato). Bandoperte non memorizza dati di carta di credito.

3. Finalità del Trattamento

I tuoi dati sono trattati per:

(a) Fornitura del Servizio (esecuzione del contratto, art. 6 par. 1 lett. b GDPR): analisi del CV, generazione dei match, gestione dell'account, fatturazione.

(b) Sicurezza e prevenzione frodi (legittimo interesse, art. 6 par. 1 lett. f GDPR): rilevamento di accessi sospetti, prevenzione di abusi.

(c) Comunicazioni di servizio (esecuzione del contratto): notifiche relative ai match, scadenze bandi, modifiche del Servizio.

(d) Adempimenti di legge (art. 6 par. 1 lett. c GDPR): conservazione dati per obblighi fiscali, contabili, antiriciclaggio.

(e) Comunicazioni marketing (consenso esplicito, art. 6 par. 1 lett. a GDPR): solo se autorizzato espressamente, per inviare newsletter o promozioni. Revocabile in ogni momento.

4. Tempi di Conservazione

File CV originale (PDF/DOCX caricato dall'utente): cancellato automaticamente dai server entro 24 ore dall'estrazione dei dati strutturati. Questo principio di minimizzazione del dato è centrale nella nostra architettura.

Dati estratti dal CV (titoli di studio, esperienze, etc.): conservati per la durata dell'account, modificabili e cancellabili dall'utente in qualsiasi momento dalle Impostazioni.

Dati dell'account: conservati fino a 30 giorni dopo la richiesta di cancellazione dell'account, salvo obblighi di legge.

Dati di log e sicurezza: massimo 12 mesi.

Dati fiscali e contabili: 10 anni come previsto dalla normativa fiscale italiana (DPR 600/1973).

5. Fornitori e Trasferimenti Dati

Bandoperte si avvale dei seguenti fornitori (data processor) per erogare il Servizio:

Supabase (database e autenticazione) — server in UE (Francoforte). Sub-processor approvati dalla Commissione UE.

Vercel (hosting frontend) — CDN distribuita globalmente. Trasferimenti extra-UE coperti da Standard Contractual Clauses (SCC).

Anthropic (analisi AI del CV) — server negli USA. Trasferimenti coperti da SCC. I dati CV inviati ad Anthropic sono solo il testo estratto del documento, mai dati di pagamento o credenziali. Anthropic non utilizza i dati per addestrare i propri modelli (clausola contrattuale).

Resend (invio email transazionali) — server in UE.

Stripe (pagamenti) — server USA con SCC e certificazione PCI-DSS.

Google (solo se accedi via OAuth) — secondo i Termini Google.

L'elenco aggiornato dei fornitori è disponibile su richiesta tramite la pagina contatti.

6. I Tuoi Diritti (GDPR)

In qualità di interessato, hai i seguenti diritti, esercitabili gratuitamente in qualsiasi momento:

Diritto di accesso (art. 15): chiedere quali dati personali sono trattati e ottenerne una copia.

Diritto di rettifica (art. 16): correggere dati inesatti o incompleti (modificabili anche autonomamente dalla pagina Profilo).

Diritto alla cancellazione / oblio (art. 17): richiedere la cancellazione dei tuoi dati personali, salvo obblighi di legge contrastanti.

Diritto di limitazione (art. 18): chiedere la sospensione del trattamento in caso di contestazione sull'accuratezza dei dati.

Diritto alla portabilità (art. 20): ricevere i tuoi dati in formato strutturato (JSON), e/o trasmetterli ad altro titolare.

Diritto di opposizione (art. 21): opporti al trattamento basato sul legittimo interesse.

Diritto di revocare il consenso: per i trattamenti basati su consenso (marketing, dati sensibili categoria protetta), in qualsiasi momento.

Diritto di reclamo all'Autorità di Controllo: puoi presentare reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

Per esercitare i tuoi diritti, scrivi tramite il modulo contatti indicando l'oggetto "Privacy / GDPR".

7. Misure di Sicurezza

Bandoperte adotta misure tecniche e organizzative adeguate per proteggere i tuoi dati:

- Crittografia in transit (TLS 1.3) e at rest (AES-256) per tutti i dati sensibili; - Password hashed con algoritmo bcrypt (mai memorizzate in chiaro); - Accesso ai dati limitato al personale autorizzato e tracciato (audit log); - Row Level Security (RLS) su tutte le tabelle del database; - Backup giornalieri cifrati; - Monitoraggio attivo per intrusioni e anomalie; - Cancellazione automatica dei file CV originali entro 24h (data minimization).

In caso di data breach con rischio per i diritti degli interessati, ti notificheremo entro 72 ore come previsto dall'art. 33 GDPR.

8. Minori

Il Servizio non è rivolto a minori di 18 anni. Non raccogliamo consapevolmente dati di minori. Se vieni a conoscenza che un minore ha fornito dati al Servizio, contattaci immediatamente per la cancellazione.

9. Modifiche alla Privacy Policy

Bandoperte si riserva il diritto di aggiornare la presente Privacy Policy in caso di evoluzione del Servizio o modifiche normative.

Le modifiche sostanziali saranno comunicate via email almeno 30 giorni prima dell'entrata in vigore. La data dell'ultimo aggiornamento è indicata in fondo alla pagina.

Per qualsiasi domanda o richiesta relativa a questo documento, utilizza il modulo contatti.