Privacy Policy
Ultima modifica: 16 giugno 2026
[DA SOSTITUIRE PRE-PROD: testi fittizi placeholder. Sostituire con copia validata da consulente legale prima del go-live.]
1. Titolare del trattamento
Il titolare del trattamento dei dati personali è Matheza S.r.l. [DA SOSTITUIRE PRE-PROD: ragione sociale, sede legale, codice fiscale e partita IVA da inserire dopo costituzione società], con sede legale in [indirizzo], iscritta al Registro delle Imprese con CF/P.IVA [numero].
Per qualsiasi richiesta relativa al trattamento dei tuoi dati puoi scrivere a privacy@matheza.it.
2. Tipologia di dati trattati
Matheza tratta le seguenti categorie di dati personali:
- Dati anagrafici e di contatto del genitore: nome, cognome, email, telefono, città di residenza.
- Dati anagrafici dei minori di cui il genitore ha la responsabilità genitoriale: nome, cognome, data di nascita, eventuali esigenze particolari (es. allergie, intolleranze) comunicate volontariamente in fase di richiesta.
- Dati dell'organizzazioneper i Partner: ragione sociale, partita IVA o codice fiscale, sede, contatti. (I dati di incasso/Stripe Connect saranno trattati solo con l'attivazione dei pagamenti in piattaforma, prevista dal 2027.)
- Dati di navigazione: indirizzo IP, user agent, log delle richieste, cookie tecnici di sessione.
- Dati di richiesta (lead): i dati che inserisci nel modulo «Richiedi informazioni» (il figlio interessato e la sua età, il periodo di interesse, eventuali note), insieme ai tuoi dati di contatto presi dal tuo account, inoltrati al Partner. Nel 2026 Matheza non gestisce pagamenti in piattaforma; eventuali pagamenti avvengono direttamente tra famiglia e Partner.
3. Finalità e base giuridica
- Erogazione del servizio (esecuzione di contratto, art. 6.1.b GDPR): registrazione account, invio di una richiesta di informazioni a un Partner, inoltro della richiesta e comunicazione, invio email transazionali (conferma, rifiuto, recensione).
- Adempimenti di legge(obbligo legale, art. 6.1.c GDPR): conservazione dei dati richiesta dalla normativa applicabile. (Gli obblighi di fatturazione e antiriciclaggio rileveranno con l'attivazione dei pagamenti in piattaforma, dal 2027.)
- Sicurezza della piattaforma (legittimo interesse, art. 6.1.f GDPR): prevenzione frodi, log di accesso, audit di sicurezza.
- Comunicazioni promozionali (consenso, art. 6.1.a GDPR): solo se espressamente accettate; oggi non inviamo newsletter — eventuali future comunicazioni saranno opt-in esplicito separato.
Inoltro della richiesta al Partner (titolarità)
Quando invii una richiesta di informazioni a un Partner (pulsante «Richiedi informazioni»), Matheza è titolare dei tuoi dati finché la richiesta resta in piattaforma. Al momento dell'inoltro al Partner selezionato, i dettagli della richiesta (il figlio interessato e la sua età, il periodo, eventuali note) e i tuoi dati di contatto (presi dal tuo account) sono trasmessi al Partner, che li tratta come titolare autonomoper ricontattarti e formulare un'eventuale proposta. Da quel momento il trattamento dei tuoi dati da parte del Partner è disciplinato dall'informativa del Partner stesso. Matheza resta titolare della copia del lead conservata in piattaforma, per le finalità indicate in questa informativa.
4. Trattamento dei dati dei minori
Matheza è un servizio rivolto a famiglie con figli di età compresa tra 8 e 17 anni. I dati dei minori sono inseriti esclusivamente dal genitore o dal tutore legale, che dichiara di esercitare la responsabilità genitoriale al momento della registrazione. Il minore non ha accesso diretto alla piattaforma.
I dati del minore sono visibili solo: (i) al genitore titolare dell'account, (ii) al Partner a cui è inoltrata la richiesta — limitatamente al nome, cognome ed eventuali esigenze comunicate.
5. Responsabili esterni del trattamento
Matheza si avvale dei seguenti responsabili esterni, scelti per offrire garanzie adeguate ai sensi dell'art. 28 GDPR:
- Supabase Inc. — hosting database e autenticazione (server EU).
- Vercel Inc.— hosting dell'applicazione web (server EU).
- Stripe Inc. — gestione pagamenti e refund.
- Resend Inc. — invio email transazionali.
- Mapbox Inc. — rendering mappe statiche (no tracking utente).
- PostHog Inc. — analytics aggregato anonimo (server EU, Frankfurt). Riceve unicamente dati di traffico e di funnel comportamentale in forma anonima e non persistente: nessun cookie, nessun
localStorage, nessun identificatore stabile tra sessioni. Dettagli operativi nella sezione 6.
[DA SOSTITUIRE PRE-PROD: lista da aggiornare alla data di go-live; alcuni provider possono trasferire dati fuori dall'UE — verificare clausole contrattuali standard.]
6. Analytics aggregato anonimo
Matheza utilizza PostHog Cloud EU(server Frankfurt, Germania) per misurare in forma aggregata e anonima il traffico del sito e l'efficacia dei funnel di scoperta (ad esempio: quanti visitatori arrivano alla scheda di un camp, quanti completano il quiz diagnostico).
Il setup è cookieless strict:
- Nessun cookie di analytics installato sul tuo dispositivo.
- Nessun
localStorageo storage persistente sul browser: la libreria di analytics opera unicamente in memoria di sessione. - Nessun identificatore utente stabile: ogni sessione è anonima e non viene correlata a sessioni precedenti né a un eventuale account Matheza registrato.
- Nessun fingerprinting avanzato del browser o del dispositivo.
La base giuridica è il legittimo interesse di Matheza a misurare le performance del proprio sito web (art. 6.1.f GDPR). Ai sensi delle linee guida del Garante Privacy del 10 giugno 2021, un sistema di analytics privo di cookie e di identificatori persistenti, con dati aggregati e server in UE, non richiede consenso preventivo.
PostHog è qualificato come responsabile esterno del trattamento (vedi sezione 5).
7. Tempi di conservazione
- Account genitore: per la durata della relazione contrattuale e per i 10 anni successivi all'ultima prenotazione, a fini di legge fiscale.
- Dati dei figli: cancellati su richiesta del genitore o automaticamente al raggiungimento della maggiore età del figlio, se non più associati a prenotazioni attive.
- Recensioni pubblicate: conservate a tempo indeterminato in forma anonimizzata (solo nome) anche dopo la cancellazione dell'account, per mantenere l'integrità informativa pubblica del camp recensito.
- Log di sicurezza e audit: 12 mesi.
8. Voucher aziendale (Welfare)
Il programma di voucher welfare aziendale non è attivo nel 2026: quest'anno Matheza opera come servizio gratuito di messa in contatto, senza pagamenti né voucher in piattaforma. Il programma welfare — con i relativi ruoli GDPR (Matheza titolare dei dati di genitore, figlio e prenotazione; azienda titolare separato del solo abbinamento codice voucher → dipendente) e il Data Processing Agreement con le aziende — sarà attivato dal 2027 e questa informativa sarà aggiornata di conseguenza.
9. Diritti dell'interessato
Ai sensi degli articoli 15-22 GDPR hai diritto a:
- Accedere ai tuoi dati personali e ottenerne una copia (art. 15).
- Rettificare dati inesatti o incompleti (art. 16).
- Cancellarei tuoi dati (art. 17, «diritto all'oblio»).
- Limitare il trattamento (art. 18).
- Portabilità: ricevere i tuoi dati in formato strutturato e interoperabile (art. 20).
- Opporti al trattamento basato su legittimo interesse (art. 21).
Puoi esercitare i tuoi diritti in autonomia dalla pagina Privacy e dati personali (richiede login) o scrivendo a privacy@matheza.it. Hai inoltre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).
10. Cloudflare Turnstile (anti-spam form di contatto)
[DRAFT — REVISIONE LEGALE PRE-PROD: paragrafo scritto da team prodotto sub-PP D pendenza UX #1, da validare con consulente legale prima del go-live production.]
Sul modulo di contatto pubblico (/contatti) Matheza utilizza Cloudflare Turnstile come sistema anti-spam invisibile in luogo dei tradizionali CAPTCHA (immagini, click-to-prove-humanity).
Finalità e base giuridica
Protezione contro automated abuse del form lead generico (submission massive da bot, scraping, content injection). La base giuridica è il legittimo interesse del titolare a proteggere la sicurezza del proprio servizio web (art. 6.1.f GDPR). Trattandosi di tecnologia anti-spam e non di profilazione, non richiede consenso esplicito preventivo dell'interessato.
Dati raccolti da Cloudflare
- Dati tecnici della richiesta: indirizzo IP, user agent del browser.
- Risposta a un challenge invisibiledi browser (caratteristiche dell'ambiente JavaScript).
- Nessun cookie persistente installato sul dispositivo.
- Nessun fingerprinting comportamentale avanzato.
- Nessun identificatore stabile tra sessioni o tra visite.
Trasferimento e conservazione
Cloudflare opera con server in Unione Europea quando disponibili. La verifica viene completata entro la singola richiesta HTTP e i dati non vengono conservati per finalità di analisi. Cloudflare è qualificato come responsabile esterno del trattamento (in fase di go-live legale, da aggiungere alla lista della sezione 5).
Per i dettagli completi sul trattamento operato da Cloudflare consulta l' Addendum sulla privacy di Cloudflare Turnstile.
11. Cookie
Per la gestione dei cookie consulta la nostra Cookie Policy.
12. Modifiche alla presente informativa
Matheza può aggiornare questa informativa. La data di ultima modifica è indicata in alto. In caso di modifiche sostanziali ti chiederemo nuovamente il consenso al primo accesso utile.