Informativa sul Trattamento dei Dati Personali
STUDIOFORMA srl — www.studioformasrl.com Ultimo aggiornamento: 20 maggio 2026 · Versione 1.0
Ai sensi del Regolamento (UE) 2016/679 (di seguito “GDPR”) e del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018, STUDIOFORMA srl, in qualità di Titolare del trattamento, fornisce la presente informativa agli utenti del sito www.studioformasrl.com e dei sottodomini collegati.
1. Titolare del Trattamento
STUDIOFORMA srl Via dell’Arcolaio 19/A — 50137 Firenze (FI), Italia P.IVA / Codice Fiscale: IT06693640481 Iscrizione Registro Imprese Firenze: FI-648918 PEC: srlstudioforma@pec.it Email amministrativa: architettura@studioformasrl.com Telefono: +39 055 802 1594
Il Titolare può essere contattato per qualsiasi questione relativa al trattamento dei propri dati personali e per l’esercizio dei diritti di seguito descritti, preferibilmente tramite PEC all’indirizzo srlstudioforma@pec.it.
Responsabile della Protezione dei Dati (DPO / RPD): STUDIOFORMA srl, in considerazione della natura e della scala dei trattamenti effettuati, non ha l’obbligo di nominare un DPO ai sensi dell’art. 37 GDPR. Il Titolare resta l’unico referente per l’esercizio dei diritti dell’interessato.
2. Tipologie di dati raccolti e finalità del trattamento
Il sito www.studioformasrl.com raccoglie dati personali in sei contesti distinti, ciascuno con la propria base giuridica e durata di conservazione.
2.1 — Form “Contattaci · Core” (richiesta di consulenza professionale)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Nome, cognome, email, numero di telefono, descrizione del progetto / richiesta |
| Finalità | Riscontro alla richiesta · valutazione di fattibilità · eventuale stipula di contratto di incarico professionale |
| Base giuridica | Art. 6.1.b GDPR — misure precontrattuali su richiesta dell’interessato |
| Conferimento | Obbligatorio per ottenere risposta. Rifiuto = impossibilità di fornire il servizio |
| Durata | 3 anni dal contatto, salvo trasformazione in cliente attivo (durata contrattuale + obblighi fiscali) |
2.2 — Form “Contattaci · Tailored” (atelier sottodominio tailored.studioformasrl.com)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Nome, cognome, email, telefono, descrizione esigenza |
| Finalità | Selezione candidati committenza atelier (gate qualificato) · risposta personalizzata |
| Base giuridica | Art. 6.1.b GDPR — misure precontrattuali su richiesta dell’interessato |
| Conferimento | Obbligatorio |
| Durata | 3 anni dal contatto |
2.3 — Form “Contattaci · Online” (Servizi Online — Architetto Senior SaaS)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Nome, cognome, email, descrizione esigenza tecnica/normativa |
| Finalità | Risposta a richiesta servizio AI (Consulenza Normativa, Render AI, Restyling, Virtual Staging) · onboarding piattaforma |
| Base giuridica | Art. 6.1.b GDPR — misure precontrattuali + Art. 6.1.a GDPR — consenso per il successivo uso della piattaforma |
| Conferimento | Obbligatorio per la presa in carico della richiesta |
| Durata | 3 anni dal contatto · fino a revoca per gli iscritti SaaS attivi |
2.4 — Form “Careers” (candidature lavorative)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Nome, cognome, email, numero di telefono, curriculum vitae, lettera motivazionale, eventuali allegati portfolio |
| Finalità | Selezione del personale · valutazione candidatura |
| Base giuridica | Art. 6.1.b GDPR — misure precontrattuali + Art. 6.1.f — legittimo interesse del Titolare alla selezione del personale |
| Conferimento | Obbligatorio per partecipare alla selezione |
| Durata | 30 giorni dalla chiusura del processo selettivo per candidati non assunti · durata contrattuale per assunti |
| Avvertenza | Si invita a non inserire nel CV dati particolari ai sensi dell’art. 9 GDPR (origine razziale/etnica, opinioni politiche, religiose, dati sanitari, vita o orientamento sessuale, dati biometrici/genetici) se non strettamente necessari |
2.5 — Iscrizione Newsletter (form pubblico)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Indirizzo email · (opzionale) nome |
| Finalità | Invio periodico (massimo mensile) di contenuti editoriali, novità di studio, articoli di approfondimento |
| Base giuridica | Art. 6.1.a GDPR — consenso esplicito (double opt-in con conferma via email) |
| Conferimento | Facoltativo |
| Durata | Fino a revoca del consenso (pulizia automatica iscritti inattivi da oltre 24 mesi) |
| Revoca | Link di cancellazione presente in ogni email + richiesta via PEC |
2.6 — Whitelist Newsletter (invito diretto)
| Voce | Dettaglio |
|---|---|
| Dati raccolti | Email + nome |
| Finalità | Newsletter editoriale a invito personale del Titolare (clienti, collaboratori, contatti istituzionali) |
| Base giuridica | Art. 6.1.a GDPR — consenso esplicito raccolto in occasione dell’invito |
| Conferimento | Facoltativo |
| Durata | Fino a revoca |
| Revoca | Link di cancellazione in ogni email + richiesta via PEC |
2.7 — Dati di navigazione (raccolti automaticamente)
Durante la normale operatività del sito sono raccolti automaticamente: - Indirizzo IP, user agent, lingua del browser, sistema operativo, risoluzione schermo - Pagine visitate, tempo di permanenza, percorso di navigazione - Provenienza del traffico (referrer)
Base giuridica: Art. 6.1.f GDPR — legittimo interesse del Titolare alla sicurezza del sito, prevenzione abusi, statistiche aggregate. Durata: 12 mesi per i log di sicurezza · IP anonimizzato per le statistiche Analytics.
3. Modalità del trattamento
I dati sono trattati con strumenti elettronici e automatizzati, con misure tecniche e organizzative adeguate a garantire sicurezza, riservatezza, integrità e disponibilità (art. 32 GDPR):
- Connessione cifrata HTTPS / TLS 1.3 su tutte le pagine
- Hash crittografico delle credenziali di backend
- Backup automatici cifrati e ridondati
- Controllo accessi a livello applicativo (ruoli)
- Log di sistema per tracciabilità accessi amministrativi
- Procedure di disaster recovery documentate
Nessuna decisione automatizzata o profilazione ai sensi dell’art. 22 GDPR.
4. Destinatari dei dati — Responsabili del trattamento (art. 28 GDPR)
I dati personali sono comunicati esclusivamente ai seguenti soggetti, designati Responsabili del trattamento con apposito accordo ai sensi dell’art. 28 GDPR:
| Destinatario | Ruolo | Servizio | Sede / Trasferimento |
|---|---|---|---|
| Cloudflare Inc. | Responsabile esterno | Hosting Cloudflare Pages, CDN, protezione DDoS | USA — trasferimento ex art. 46 GDPR con SCC (Standard Contractual Clauses 2021/914/UE) + Data Processing Addendum |
| Supabase Inc. | Responsabile esterno | Database PostgreSQL, autenticazione, storage lead e newsletter | UE (Francoforte) / USA — SCC + DPA |
| Resend Inc. | Responsabile esterno | Email transazionali (form Contattaci, double opt-in newsletter) | USA — SCC + DPA |
| SendGrid (Twilio Inc.) | Responsabile esterno (eventuale fallback) | Email transazionali di backup | USA — SCC + DPA |
| Iubenda S.r.l. | Responsabile esterno | Gestione consenso cookie, conservazione log consensi | Italia (Bologna) — nessun trasferimento extra-UE |
| Collaboratori interni e professionisti | Persone autorizzate ex art. 29 GDPR | Trattamento dati dei lead per istruttoria progetti, candidature, fatturazione | Italia |
| Studio commercialista | Responsabile esterno | Adempimenti fiscali e contabili | Italia — DPA su richiesta |
| Autorità pubbliche | (in caso di obbligo) | Adempimenti normativi, richieste della Magistratura, Garante Privacy | — |
I dati non sono in alcun caso ceduti o venduti a terzi per finalità di marketing.
4.1 — Trasferimento dati extra-UE
I trasferimenti verso fornitori situati negli Stati Uniti (Cloudflare, Resend, SendGrid e in parte Supabase) avvengono sulla base di: - Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione 2021/914/UE - Data Processing Addendum sottoscritto con ciascun fornitore - Adesione dei fornitori al Data Privacy Framework UE-USA (ove applicabile)
L’elenco aggiornato dei sub-responsabili di ciascun fornitore è disponibile su richiesta scritta via PEC.
5. Cookie e tecnologie similari
L’utilizzo di cookie e tecnologie similari (pixel, local storage, fingerprinting tecnico) è dettagliato nella Cookie Policy dedicata, accessibile dal footer di ogni pagina e dal banner di consenso.
Sintesi: - Cookie tecnici (sessione, preferenze, sicurezza): esenti da consenso ex art. 122 Codice Privacy - Cookie analytics anonimizzati (Cloudflare Analytics, eventuale Plausible self-hosted): esenti da consenso se IP anonimizzato e dati non condivisi con terzi (provvedimento Garante 10 giugno 2021) - Cookie marketing / profilazione: subordinati a consenso esplicito ex art. 7 GDPR, raccolto tramite banner Iubenda
6. Periodi di conservazione
Sintesi delle durate (cfr. tabelle in §2):
| Categoria dati | Durata |
|---|---|
| Lead da form Contattaci (core/tailored/online) | 3 anni dal contatto |
| CV e dati candidati non assunti | 30 giorni dalla chiusura selezione |
| Dati lavorativi candidati assunti | Durata contrattuale + 10 anni (obblighi fiscali) |
| Iscritti newsletter (pubblica e whitelist) | Fino a revoca consenso · pulizia inattivi >24 mesi |
| Log di navigazione | 12 mesi |
| Log consensi (Iubenda) | 10 anni (difendibilità reclamo Garante) |
| Dati fiscali e contabili | 10 anni ex art. 2220 Codice Civile |
Al termine del periodo, i dati sono anonimizzati o cancellati definitivamente dai sistemi del Titolare e dei Responsabili esterni.
7. Diritti dell’interessato (artt. 15-22 GDPR)
L’interessato può, in qualsiasi momento, esercitare i seguenti diritti:
| Diritto | Riferimento normativo | Cosa significa |
|---|---|---|
| Accesso | Art. 15 GDPR | Ottenere conferma del trattamento + copia dei dati |
| Rettifica | Art. 16 GDPR | Correzione dei dati inesatti o incompleti |
| Cancellazione (“oblio”) | Art. 17 GDPR | Eliminazione dei dati quando non più necessari, consenso revocato, o trattamento illecito |
| Limitazione | Art. 18 GDPR | Sospensione temporanea del trattamento in attesa di verifica |
| Portabilità | Art. 20 GDPR | Ricevere i propri dati in formato strutturato leggibile da dispositivo automatico e trasmetterli a un altro titolare |
| Opposizione | Art. 21 GDPR | Opporsi al trattamento basato su legittimo interesse o per marketing diretto |
| No decisioni automatizzate | Art. 22 GDPR | Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato (non applicato dal Titolare) |
| Revoca del consenso | Art. 7.3 GDPR | Ritirare il consenso in qualsiasi momento (senza pregiudicare la liceità del trattamento svolto prima) |
| Reclamo al Garante | Art. 77 GDPR | Proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) |
| Ricorso giurisdizionale | Art. 79 GDPR | Adire l’autorità giudiziaria italiana |
| Informativa sulla violazione | Art. 34 GDPR | Essere informato in caso di violazione che comporti rischio elevato per i diritti dell’interessato |
7.1 — Modalità di esercizio dei diritti
L’interessato esercita i propri diritti inviando una richiesta scritta al Titolare:
📧 Canale principale (consigliato): PEC: srlstudioforma@pec.it
Canale alternativo: Email: architettura@studioformasrl.com oppure raccomandata A/R: STUDIOFORMA srl — Via dell’Arcolaio 19/A — 50137 Firenze (FI)
Contenuto della richiesta: 1. Diritto/i che si intende esercitare 2. Dati identificativi (nome, cognome, email utilizzata sul sito) 3. Copia di documento di identità (per verifica)
Tempo di risposta: 30 giorni dalla ricezione della richiesta, prorogabili di ulteriori 60 giorni in casi di particolare complessità (con comunicazione motivata all’interessato).
Costo: la risposta è gratuita. Solo richieste manifestamente infondate o eccessive (ad esempio ripetute) possono comportare un contributo spese motivato.
7.2 — Reclamo al Garante
L’interessato può proporre reclamo al Garante per la Protezione dei Dati Personali: - Sito: www.garanteprivacy.it - Modalità: tramite il portale reclami online del Garante - Sede: Piazza Venezia 11 — 00187 Roma — centralino +39 06 696771
8. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate (art. 32 GDPR) per garantire la sicurezza dei dati:
- Crittografia in transito (HTTPS/TLS 1.3) e a riposo (database e backup)
- Controllo accessi basato su ruoli, autenticazione multi-fattore per gli amministratori
- Backup giornalieri ridondati e cifrati
- Aggiornamento periodico dei sistemi e delle dipendenze software
- Audit log per le operazioni critiche
- Procedura di gestione data breach (notifica al Garante entro 72h ex art. 33 GDPR)
- Formazione periodica del personale autorizzato
9. Trattamenti speciali
9.1 — Minori
Il sito non è rivolto a soggetti minori di 16 anni. Non sono raccolti consapevolmente dati di minori. In caso di evidenza, i dati saranno immediatamente cancellati.
9.2 — Dati particolari (art. 9 GDPR)
Il sito non raccoglie sistematicamente dati particolari (salute, origine etnica, opinioni politiche/religiose, vita o orientamento sessuale, dati biometrici/genetici). L’utente è invitato a non comunicarli nel campo libero descrizione progetto / lettera motivazionale, salvo necessità strettamente correlata al servizio richiesto e con consenso esplicito.
9.3 — Dati relativi a condanne penali (art. 10 GDPR)
Il sito non raccoglie dati relativi a condanne penali o reati.
10. Modifiche alla presente informativa
Il Titolare si riserva di modificare la presente informativa per adeguarla a: - Modifiche normative (GDPR, ePrivacy, provvedimenti Garante) - Nuovi trattamenti o nuovi servizi offerti dal sito - Cambi di fornitori (Responsabili esterni)
Le modifiche sostanziali sono comunicate agli iscritti newsletter via email e segnalate con banner sul sito per almeno 30 giorni. La versione aggiornata è sempre disponibile su questa pagina con data di ultima modifica in testata.
11. Contatti
| Canale | Indirizzo |
|---|---|
| PEC (consigliato) | srlstudioforma@pec.it |
| architettura@studioformasrl.com | |
| Telefono | +39 055 802 1594 |
| Posta | STUDIOFORMA srl — Via dell’Arcolaio 19/A — 50137 Firenze (FI) |
Documento redatto in conformità al Regolamento (UE) 2016/679, al D.lgs. 196/2003 come modificato dal D.lgs. 101/2018, alle Linee Guida EDPB e ai Provvedimenti del Garante per la Protezione dei Dati Personali.
STUDIOFORMA srl — Privacy Policy Sito v1.0 — 20 maggio 2026