Informativa sulla Privacy

Ai sensi degli artt. 13-14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018

1. Titolare del trattamento

Flatmates S.r.l., con sede legale in Viale Pasubio 5, 20154 Milano, P.IVA 04267420984 (di seguito “Flatmates” o il “Titolare”).

Per qualsiasi richiesta relativa alla presente informativa o per esercitare i propri diritti: privacy@flatmatesagency.com

2. Tipologie di dati raccolti

La Piattaforma tratta le seguenti categorie di dati personali:

a) Dati di navigazione

Indirizzo IP, tipo di browser, sistema operativo, pagine visitate, orari di accesso, URL di provenienza. Questi dati sono raccolti automaticamente durante la navigazione.

b) Dati di registrazione e account

Nome, cognome, indirizzo email, foto profilo (fornita tramite Google OAuth o caricata manualmente), ruolo assegnato sulla piattaforma (admin, editor, viewer, member).

c) Dati dei creator

Dati identificativi (nome, cognome, nickname, email, telefono, città, paese), foto profilo e immagini di copertina, biografia e biografia breve.

d) Dati pubblici da piattaforme social

La Piattaforma raccoglie e analizza dati pubblicamente disponibili dai profili social dei creator registrati, tra cui:

YouTube: iscritti, visualizzazioni, video pubblicati, metriche di engagement (like, commenti), durata dei contenuti, categorie, parole chiave
Instagram: follower, post pubblicati, metriche di engagement (like, commenti, visualizzazioni), tipo di contenuto (immagine, video, reel, carosello), hashtag, menzioni
TikTok: follower, visualizzazioni, metriche di engagement (like, commenti, condivisioni), durata, hashtag, informazioni musicali
LinkedIn: follower, connessioni, headline professionale (solo dati del profilo, nessun contenuto)

e) Dati demografici aggregati

Distribuzione per fasce d'età (18-24, 25-34, 35+) e percentuali di genere dell'audience dei creator, forniti dalle piattaforme social in forma aggregata e non riconducibili a singoli individui.

f) Dati delle campagne commerciali

Informazioni relative a campagne pubblicitarie: nome del cliente, budget, costi, date, stato, area di business, settore industriale, project manager, contenuti collegati. Questi dati possono essere sincronizzati automaticamente da Google Sheets.

g) Cookie e tecnologie di tracciamento

La Piattaforma utilizza i seguenti cookie:

Cookie tecnici essenziali: necessari per l'autenticazione e il funzionamento della Piattaforma (sessione Supabase Auth). Non richiedono consenso. Durata: fino a scadenza della sessione.
Cookie di preferenza: memorizzano le preferenze dell'utente (es. tema chiaro/scuro). Non richiedono consenso. Durata: 12 mesi.

La Piattaforma non utilizza cookie di profilazione pubblicitaria di terze parti, cookie di remarketing o tracker analitici (es. Google Analytics, Facebook Pixel).

3. Categorie di interessati e rapporti giuridici

La Piattaforma tratta dati personali di diverse categorie di soggetti, con basi giuridiche distinte:

a) Creator sotto contratto di management

Creator che hanno sottoscritto un contratto di management con Flatmates (identificati come “Roster Flatmates” sulla Piattaforma). Il trattamento dei loro dati — inclusa la pubblicazione sul roster pubblico, la condivisione tramite scouting con potenziali clienti, il calcolo di metriche di performance e la sincronizzazione periodica dei dati social — è necessario per l'esecuzione del contratto di management e rientra nelle attività concordate contrattualmente.

Base giuridica: esecuzione del contratto (art. 6.1.b GDPR).

b) Creator in fase di valutazione (non sotto contratto)

La Piattaforma può monitorare profili social pubblici di creator non ancora sotto contratto, esclusivamente a fini di scouting interno e valutazione per potenziali collaborazioni. Questi profili non sono mai visibili sul roster pubblico né condivisi tramite scouting: sono accessibili solo agli utenti autorizzati della dashboard amministrativa.

I dati trattati sono esclusivamente dati pubblicamente accessibili sui rispettivi profili social. I creator interessati possono in qualsiasi momento opporsi al trattamento (art. 21 GDPR) o richiederne la cancellazione (art. 17 GDPR) scrivendo a privacy@flatmatesagency.com. Flatmates provvederà alla rimozione entro 30 giorni dalla richiesta.

Base giuridica: legittimo interesse (art. 6.1.f GDPR). Valutazione di bilanciamento (LIA) disponibile su richiesta.

c) Utenti registrati della Piattaforma

Membri del team Flatmates, rappresentanti di clienti/brand (organizzazioni) e creator con accesso self-service. Il trattamento dei loro dati di account è necessario per l'erogazione del servizio e la gestione degli accessi.

Base giuridica: esecuzione del contratto (art. 6.1.b GDPR).

d) Visitatori del sito pubblico

Soggetti che visitano il roster pubblico o le pagine di scouting senza autenticazione. Vengono trattati esclusivamente dati di navigazione (cfr. sezione 2.a) e cookie tecnici (cfr. sezione 2.g).

Base giuridica: legittimo interesse (art. 6.1.f GDPR) per i dati di navigazione.

e) Clienti e referenti aziendali

Dati di contatto di clienti e referenti aziendali (nome, email, telefono, azienda, settore) trattati nell'ambito della gestione commerciale e delle campagne. Questi dati possono essere sincronizzati da Google Sheets e sono visibili esclusivamente agli utenti autorizzati della Piattaforma (mai pubblicamente).

Base giuridica: esecuzione del contratto (art. 6.1.b GDPR) e legittimo interesse (art. 6.1.f GDPR).

4. Dati pubblicati sul roster pubblico e negli scouting

Sul roster pubblico compaiono esclusivamente creator che hanno sottoscritto un contratto di management con Flatmates. Le pagine di scouting condivise possono includere sia creator sotto contratto sia creator in fase di valutazione, su decisione del team Flatmates. I seguenti dati sono visibili senza autenticazione:

Nome e cognome (o nome d'arte)
Foto profilo e immagini di copertina
Biografia breve
Handle/username sulle piattaforme social e link diretti ai profili
Numero di follower/iscritti per piattaforma
Metriche aggregate calcolate: views medie, likes medi, engagement rate medio
Distribuzione demografica dell'audience (fasce d'età, genere) in forma percentuale e aggregata
Anteprime degli ultimi contenuti pubblicati (thumbnail, titolo, metriche)

Non sono mai pubblicati: email, telefono, indirizzo, città, compensi, dati delle campagne, note interne, storico metriche dettagliato.

Questi dati corrispondono a informazioni già pubblicamente accessibili sui profili social dei creator. La Piattaforma li aggrega e li presenta in forma organizzata per facilitare le attività di talent scouting e management.

5. Finalità e base giuridica del trattamento

a) Erogazione del servizio

Gestione dell'account, autenticazione, accesso alla piattaforma, visualizzazione del roster pubblico, sincronizzazione dei profili social dei creator, calcolo delle metriche di performance (engagement rate, reach, crescita follower), generazione di scouting condivisi, gestione campagne e clienti.

Base giuridica: esecuzione del contratto (art. 6.1.b GDPR).

b) Analisi e profilazione a fini di servizio

Calcolo di metriche derivate (engagement rate medio, views medie, crescita percentuale), classificazione dei contenuti (video, shorts, post), rilevazione di contenuti “virali”, comparazione di performance tra creator, generazione di alert (campagne a rischio, creator inattivi, sync in ritardo), suggerimenti automatici di abbinamento contenuto-campagna.

Queste attività costituiscono profilazione ai sensi dell'art. 4(4) del GDPR in quanto comportano il trattamento automatizzato di dati personali per valutare aspetti relativi alla resa professionale dei creator. Tuttavia, non producono effetti giuridici né incidono in modo analogo significativamente sugli interessati (art. 22 GDPR), poiché sono utilizzate esclusivamente come strumento di supporto alle decisioni del team Flatmates.

Base giuridica: legittimo interesse (art. 6.1.f GDPR). L'interessato ha il diritto di opporsi in qualsiasi momento.

c) Generazione di contenuti tramite intelligenza artificiale

La Piattaforma utilizza modelli di intelligenza artificiale (Anthropic Claude) per generare brevi biografie dei creator in lingua italiana. I dati inviati al modello AI sono limitati al nome del creator, ai nomi delle piattaforme social collegate e alla biografia esistente. Non vengono trasmessi dati sensibili o metriche dettagliate.

Base giuridica: esecuzione del contratto (art. 6.1.b GDPR) e legittimo interesse (art. 6.1.f GDPR).

d) Obblighi di legge

Adempimento di obblighi fiscali, contabili e normativi, inclusa la conservazione dei dati relativi alla fatturazione delle campagne.

Base giuridica: obbligo legale (art. 6.1.c GDPR).

e) Sicurezza della piattaforma

Controllo degli accessi (autenticazione, autorizzazione basata su ruoli), rate limiting sugli endpoint critici, monitoraggio delle attività sospette, log di sincronizzazione con tracciabilità dell'operatore.

Base giuridica: legittimo interesse (art. 6.1.f GDPR).

f) Comunicazioni commerciali

Invio di comunicazioni commerciali e promozionali, ove applicabile.

Base giuridica: consenso dell'interessato (art. 6.1.a GDPR).

6. Modalità del trattamento

I dati sono trattati con strumenti elettronici automatizzati, con misure di sicurezza tecniche e organizzative idonee a garantire riservatezza, integrità e disponibilità, in conformità con l'art. 32 del GDPR. In particolare:

Autenticazione tramite protocolli OAuth 2.0 e magic link con token crittografati
Crittografia dei dati in transito (TLS/HTTPS) e a riposo
Row Level Security (RLS) a livello di database per segregazione degli accessi
Controllo degli accessi basato su ruoli (RBAC) con tre livelli: viewer, editor, admin
Rate limiting sugli endpoint sensibili per prevenire abusi
Chiavi API e credenziali conservate in variabili d'ambiente, mai esposte al client

7. Responsabili del trattamento e sub-responsabili

I dati possono essere comunicati ai seguenti soggetti che agiscono come responsabili o sub-responsabili del trattamento ai sensi dell'art. 28 GDPR:

Fornitore	Servizio	Sede	Garanzie extra-UE
Supabase Inc.	Database, autenticazione, storage file	USA (server EU)	DPF + SCC
Vercel Inc.	Hosting, deployment, edge computing	USA	DPF + SCC
Inngest Inc.	Orchestrazione job in background, cron scheduling	USA	SCC
Apify Technologies s.r.o.	Raccolta dati pubblici da Instagram, TikTok, LinkedIn	Repubblica Ceca (UE)	N/A (UE)
Google LLC	YouTube Data API, Google Sheets API, OAuth	USA	DPF + SCC
Anthropic PBC	Generazione testi tramite AI (biografie creator)	USA	SCC

DPF = EU-U.S. Data Privacy Framework · SCC = Clausole Contrattuali Standard (Commissione Europea)

I dati possono inoltre essere comunicati a:

Autorità competenti nei casi previsti dalla legge
Clienti e partner commerciali, limitatamente ai dati pubblici dei creator visibili sul roster e negli scouting condivisi

8. Trasferimento dati extra-UE

Alcuni dei sub-responsabili indicati al punto 5 hanno sede negli Stati Uniti. I trasferimenti di dati personali verso gli USA avvengono:

Sulla base del EU-U.S. Data Privacy Framework (decisione di adeguatezza della Commissione Europea del 10 luglio 2023), per i fornitori certificati DPF
In subordine, sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione di Esecuzione 2021/914

L'utente può richiedere copia delle garanzie adeguate scrivendo a privacy@flatmatesagency.com.

9. Periodo di conservazione

I dati sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

Dati di navigazione: massimo 24 mesi dalla raccolta
Dati di account: per tutta la durata del rapporto contrattuale e per i successivi 10 anni (obblighi fiscali ex art. 2220 c.c.)
Dati social dei creator: per tutta la durata della gestione del creator sulla piattaforma. Lo storico delle metriche (follower, views, engagement) è conservato fino a 36 mesi per finalità di analisi delle performance
Dati delle campagne: per tutta la durata della campagna e per i successivi 10 anni (obblighi fiscali)
Log di sincronizzazione: 12 mesi dalla creazione
Dati di rate limiting: eliminati automaticamente alla scadenza della finestra temporale (massimo 60 secondi)

Al termine del periodo di conservazione, i dati sono cancellati o anonimizzati in modo irreversibile.

10. Diritti dell'interessato

Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto di:

Accesso (art. 15): ottenere conferma del trattamento e copia dei dati
Rettifica (art. 16): correggere dati inesatti o incompleti
Cancellazione (art. 17): ottenere la cancellazione dei dati (“diritto all'oblio”)
Limitazione (art. 18): limitare il trattamento in determinati casi
Portabilità (art. 20): ricevere i dati in formato strutturato e leggibile da dispositivo automatico
Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse, inclusa la profilazione
Revoca del consenso (art. 7.3): revocare il consenso in qualsiasi momento, senza pregiudizio per il trattamento precedente
Decisioni automatizzate (art. 22): non essere sottoposto a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici. Come indicato al punto 3.b, la Piattaforma non assume decisioni automatizzate con tali effetti

Per esercitare i propri diritti: privacy@flatmatesagency.com

L'interessato ha inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), autorità di controllo competente ai sensi dell'art. 77 GDPR.

11. Dati di minori

La Piattaforma non è destinata a minori di 16 anni (art. 8 GDPR, come recepito dall'art. 2-quinquies del D.Lgs. 196/2003). Non raccogliamo consapevolmente dati personali di minori. Qualora venissimo a conoscenza di aver raccolto dati di un minore senza il consenso del titolare della responsabilità genitoriale, provvederemo alla loro cancellazione immediata.

12. Modifiche alla presente informativa

Il Titolare si riserva il diritto di aggiornare la presente informativa per adeguarla a modifiche normative o a variazioni dei servizi offerti. Le modifiche sostanziali saranno comunicate tramite avviso sulla Piattaforma. Si invita a consultare periodicamente questa pagina.

Ultimo aggiornamento: marzo 2026