Informativa legale

Privacy & Cookie Policy

Ultimo aggiornamento: 1 marzo 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite la piattaforma DenkHub Manager (accessibile all'indirizzo manager.denkhub.io) è DenkHub.

Per qualsiasi richiesta relativa al trattamento dei tuoi dati puoi contattarci all'indirizzo: [email protected]

2. Dati personali raccolti e finalità

Raccogliamo i seguenti dati:

Dati di registrazione e account

Nome e cognome / ragione sociale
Username e indirizzo e-mail
Password (conservata esclusivamente in forma di hash crittografico – bcrypt; mai in chiaro)
Ruolo nell'applicazione (Master o Cliente)
Eventuale indirizzo di fatturazione e dati di pagamento (solo etichetta del metodo, non numeri di carta)

Finalità: creazione e gestione dell'account, autenticazione, accesso al servizio.

Contenuti professionali caricati

Testi (caption, note creative, suggerimenti cliente)
Immagini e video caricati per la pianificazione editoriale
Commenti lasciati sulle schede contenuto
Approvazioni e richieste di modifica

Finalità: erogazione del servizio di gestione e approvazione dei contenuti social.

Dati di pubblicazione sui social network

Quando colleghi un account Meta (Facebook o Instagram), gestiamo per tuo conto:

Token di accesso OAuth (user token di lunga durata, ~60 giorni)
Identificativi delle Pagine Facebook e degli Account Business Instagram autorizzati
Identificativi dei post pubblicati (post ID)

Finalità: pubblicazione automatica o programmata dei contenuti sulle piattaforme social selezionate.

Notifiche push (opzionale)

Se accetti le notifiche push del browser, conserviamo l'endpoint Web Push e le relative chiavi di cifratura (p256dh, auth key) associati al tuo account.

Finalità: invio di notifiche in-app (approvazioni, commenti, pubblicazioni). Puoi revocare il consenso in qualsiasi momento dalle impostazioni del browser.

Dati tecnici di navigazione

Non usiamo analytics di terze parti né cookie di profilazione. I log applicativi (errori, eccezioni) vengono registrati esclusivamente lato server e non sono condivisi con terzi.

3. Base giuridica del trattamento

Esecuzione del contratto (art. 6 §1 lett. b GDPR): dati di account, contenuti caricati, token social — necessari per erogare il servizio.
Consenso (art. 6 §1 lett. a GDPR): notifiche push — puoi revocarle in qualsiasi momento.
Legittimo interesse (art. 6 §1 lett. f GDPR): log tecnici per sicurezza e debugging.

4. Servizi terzi e trasferimento dei dati

Per erogare il servizio ci avvaliamo dei seguenti fornitori terzi. Tutti i trasferimenti verso paesi extra-SEE avvengono sulla base di clausole contrattuali standard (SCC) o garanzie equivalenti.

Fornitore	Finalità	Sede dati	Privacy
Supabase	Database relazionale (PostgreSQL) – conservazione di tutti i dati dell'applicazione	EU (Germania/Irlanda)	Leggi →
Cloudflare R2 + CDN	Archiviazione e distribuzione di immagini e video caricati (CDN: cdn.denkhub.io)	Globale (CDN) / US (storage primario)	Leggi →
Resend	Invio di e-mail transazionali (benvenuto, notifiche, link di setup password)	US	Leggi →
Meta (Facebook/Instagram) Graph API	Pubblicazione di contenuti sulle Pagine Facebook e account Instagram Business autorizzati dall'utente	US	Leggi →

Non vendiamo dati a terzi. Non condividiamo dati personali con soggetti diversi dai fornitori sopra elencati, salvo obbligo di legge.

5. Cookie e tecnologie simili

Utilizziamo esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio. Non usiamo cookie di profilazione, di marketing o di terze parti a fini pubblicitari.

Nome	Finalità	Durata
`tm_session`	Sessione autenticata dell'utente (account_id, ruolo, workspace attivo). Firmato con HMAC-SHA256.	30 giorni
`tm_setup`	Sessione temporanea durante il flusso di configurazione iniziale dell'account.	30 giorni
`_social_page_sel`	Stato temporaneo durante la selezione di una Pagina Meta nell'OAuth flow. Eliminato al completamento del flusso.	10 minuti

Tutti i cookie sono impostati con flag HttpOnly (non accessibili da JavaScript), SameSite=Lax (protezione CSRF) e Secure in produzione (solo HTTPS). Non è richiesto un banner cookie in quanto vengono usati esclusivamente cookie tecnici necessari.

6. Conservazione dei dati

Dati account: conservati per tutta la durata del contratto. In caso di cancellazione dell'account, i dati vengono eliminati entro 30 giorni.
Contenuti e media: eliminati su richiesta o alla cancellazione del workspace associato.
Token Meta OAuth: conservati fino alla scadenza (~60 giorni) o fino alla disconnessione esplicita dall'app.
Notifiche push: endpoint conservati fino alla revoca del consenso o all'invalidazione automatica da parte del browser.

7. I tuoi diritti (GDPR)

In qualità di interessato hai diritto a:

Accesso – ottenere una copia dei tuoi dati (art. 15)
Rettifica – correggere dati inesatti (art. 16)
Cancellazione – richiedere l'eliminazione dei dati ("diritto all'oblio", art. 17)
Limitazione – limitare il trattamento in certi casi (art. 18)
Portabilità – ricevere i tuoi dati in formato strutturato (art. 20)
Opposizione – opporsi al trattamento basato su legittimo interesse (art. 21)
Revoca del consenso – per le notifiche push, in qualsiasi momento

Per esercitare i tuoi diritti scrivi a [email protected]. Hai inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali (garanteprivacy.it).

8. Sicurezza

Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali: cifratura HTTPS end-to-end, cookie con flag HttpOnly e Secure, password in forma di hash bcrypt, token firmati HMAC-SHA256, confronto timing-safe delle firme crittografiche.

I token OAuth Meta sono conservati nel database e non esposti in chiaro nelle risposte delle API pubbliche.

9. Modifiche alla presente informativa

Eventuali aggiornamenti della presente informativa saranno pubblicati su questa pagina con indicazione della data di revisione. Per modifiche sostanziali, gli utenti registrati riceveranno una notifica via e-mail.

Consulta anche i nostri Termini e Condizioni.