Informativa sulla privacy
Ultimo aggiornamento: 26 maggio 2026
Questa pagina spiega in modo chiaro chi sono, quali dati raccolgo quando visiti donatovillani.com o prenoti una consulenza, perché li raccolgo, con chi li condivido, e quali sono i tuoi diritti. È un'informativa resa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 ("GDPR") e della normativa italiana sulla protezione dei dati personali (D.lgs. 196/2003 come modificato dal D.lgs. 101/2018).
Se qualcosa non ti è chiaro, scrivimi a donato.villani@gmail.com.
1. Chi sono (Titolare del trattamento)
Il titolare del trattamento dei tuoi dati personali sono io:
Donato Villani, libero professionista.
P.IVA: 14591980967
Sede operativa / domicilio fiscale: via Caduti Di Marcinelle 11 - 20134 Milano (MI), Italy
Email: donato.villani@gmail.com
Non ho nominato un Responsabile della Protezione dei Dati (DPO) perché non sussistono i presupposti previsti dall'art. 37 GDPR. Per qualsiasi richiesta in materia di protezione dei dati, scrivimi direttamente all'email qui sopra.
2. Quali dati raccolgo e perché
2.1 Dati di navigazione sul sito
Quando visiti donatovillani.com, alcune informazioni vengono raccolte automaticamente:
- indirizzo IP (anche in forma anonimizzata), tipo di browser e dispositivo, pagine visitate, durata della visita, sito di provenienza;
- un identificatore tecnico di sessione, necessario al funzionamento del sito;
- — solo previo tuo consenso tramite il banner cookie — un identificatore persistente che mi consente di contare visitatori unici e visualizzare statistiche aggregate sull'uso del sito.
Perché: garantire il corretto funzionamento del sito (finalità tecnica) e, in caso di consenso, misurare il traffico e migliorare i contenuti (finalità statistica).
Base giuridica:
- per i dati tecnici strettamente necessari: legittimo interesse (art. 6.1.f GDPR) ad erogare il servizio web;
- per la misurazione del traffico: il tuo consenso (art. 6.1.a GDPR), che puoi revocare in qualsiasi momento riaprendo il banner cookie.
Maggiori dettagli su quali cookie uso e come gestirli sono nella Cookie Policy.
2.2 Dati che mi fornisci prenotando una consulenza
Per prenotare una call ti chiedo:
- nome e cognome
- indirizzo email
- numero di telefono
- note (opzionali) — di cosa vuoi parlare
- per la Call Founder Startup: un file (pitch deck, business plan, o altro documento che ritieni utile)
- — automaticamente a fronte della selezione dello slot — data, ora e fuso orario della call
Inoltre, al momento del pagamento, Stripe raccoglie i dati di pagamento (numero di carta, scadenza, CVC, nome del titolare della carta, eventuale indirizzo di fatturazione). Questi dati non transitano sul mio sito: il modulo di pagamento è erogato direttamente da Stripe sul dominio checkout.stripe.com. Io ricevo solo l'esito (success/failed) e l'ID transazione.
Se sei un cliente, raccoglierò inoltre i dati necessari per emettere la fattura elettronica (questi dati possono includere indirizzo di fatturazione, codice fiscale o P.IVA, codice destinatario o PEC se sei un'impresa).
Perché:
- organizzare la consulenza, inviarti il link Google Meet, supportarti prima e dopo la call;
- ricevere il pagamento per il servizio;
- emettere fattura elettronica e adempiere agli obblighi fiscali/contabili.
Base giuridica:
- per la prenotazione e l'erogazione della consulenza: esecuzione del contratto e misure precontrattuali (art. 6.1.b GDPR);
- per il pagamento: esecuzione del contratto (art. 6.1.b GDPR); per la finalità antifrode di Stripe, suo legittimo interesse (art. 6.1.f) e adempimento di obblighi AML (art. 6.1.c);
- per la fatturazione: obbligo legale (art. 6.1.c GDPR — D.P.R. 633/1972, D.P.R. 600/1973, D.lgs. 127/2015).
2.3 Documenti che mi invii (pitch deck o altri allegati)
Per la Call Founder Startup ti chiedo di allegare un documento. Lo uso esclusivamente per prepararmi alla call — leggo il documento prima dell'incontro e potrebbe contenere informazioni commercialmente sensibili (idee imprenditoriali, dati finanziari proiettati, nomi di co-fondatori o collaboratori, eventuali clienti citati).
Mi impegno a:
- non condividere il documento con terze parti senza il tuo consenso;
- conservarlo per il tempo strettamente necessario alla preparazione e al follow-up della call (non oltre 30 giorni dalla data della call, salvo che tu mi chieda esplicitamente di conservarlo più a lungo per un follow-up);
- cancellarlo definitivamente alla scadenza.
Se il documento contiene dati personali di terze persone (es. nomi di co-founder o membri del team), tu ti dichiari legittimato a condividerli con me per questa finalità.
Base giuridica: esecuzione del contratto (art. 6.1.b GDPR).
2.4 Comunicazioni via email
Se mi scrivi via email o LinkedIn, conservo la conversazione il tempo necessario a gestire la nostra relazione professionale. Non uso il tuo indirizzo per inviarti newsletter o comunicazioni promozionali (al momento non gestisco una newsletter).
Base giuridica: esecuzione del contratto / misure precontrattuali (art. 6.1.b) per i clienti; legittimo interesse (art. 6.1.f) per i prospect che mi hanno scritto.
3. A chi comunico i tuoi dati
| Fornitore | Cosa fa | Dove ha sede |
|---|---|---|
| Lovable / GPT Engineer Inc. | Hosting del sito, archiviazione del database prenotazioni, archiviazione dei file caricati, analytics tecnica | USA — backend analytics presso Tinybird (UE, Spagna) |
| Stripe Payments Europe DAC | Elaborazione dei pagamenti, antifrode, gestione transazioni | Irlanda (UE) — sub-trasferimenti possibili a Stripe Inc. (USA) |
| Google Ireland Ltd (Calendar / Meet / Gmail) | Calendario, link videoconferenza, casella email | Irlanda (UE) — sub-trasferimenti possibili a Google LLC (USA) |
| Cloudflare Inc. | CDN e protezione del sito | USA (server distribuiti in UE) |
| Commercialista del titolare | Tenuta contabilità, fatturazione elettronica | Italia |
| Agenzia delle Entrate (SdI) | Fatturazione elettronica obbligatoria | Italia |
Ciascun fornitore opera secondo i suoi termini contrattuali e, dove richiesto, è nominato Responsabile del trattamento ex art. 28 GDPR tramite il rispettivo Data Processing Agreement.
4. I tuoi dati vanno fuori dall'Unione Europea?
Sì, alcuni fornitori hanno sede o sub-processor negli USA (Lovable, Stripe, Google, Cloudflare). I trasferimenti sono effettuati sulla base delle Clausole Contrattuali Standard (SCC) della Commissione Europea e, dove applicabile, dell'adesione dei fornitori al EU-US Data Privacy Framework (decisione di adeguatezza UE del 10 luglio 2023). Su richiesta posso fornirti copia o riferimento delle SCC applicate da ciascun fornitore.
5. Per quanto tempo conservo i tuoi dati
| Tipologia di dato | Periodo di conservazione |
|---|---|
| Dati di navigazione tecnica (log) | Max 7 giorni |
| Cookie e identificatori di misurazione (con consenso) | Max 24 mesi |
| Dati di prenotazione (nome, email, note) | 10 anni (obblighi fiscali) |
| File pitch deck / allegati | 30 giorni dalla data della call (salvo richiesta esplicita) |
| Dati di fatturazione e documenti contabili | 10 anni (art. 2220 c.c., art. 22 D.P.R. 600/1973) |
| Email prospect non convertiti | Fino a 24 mesi |
| Email clienti | 10 anni (rapporto contrattuale) |
6. I tuoi diritti
In qualsiasi momento puoi esercitare:
- accesso (art. 15) — sapere quali dati ho su di te
- rettifica (art. 16) — correggere dati inesatti
- cancellazione "oblio" (art. 17) — salvo obblighi legali di conservazione
- limitazione (art. 18)
- portabilità (art. 20)
- opposizione (art. 21) ai trattamenti basati su legittimo interesse
- revoca del consenso (es. analytics) — non pregiudica la liceità del trattamento precedente
Come esercitarli: scrivimi a donato.villani@gmail.com. Rispondo entro 30 giorni.
7. Diritto di reclamo al Garante
Hai diritto di proporre reclamo al Garante per la protezione dei dati personali:
- Sito: www.garanteprivacy.it
- Piazza Venezia 11, 00187 Roma
- Email: protocollo@gpdp.it · PEC: protocollo@pec.gpdp.it
8. Misure di sicurezza
HTTPS forzato, autenticazione 2FA sugli account di gestione, accesso limitato ai dati al solo titolare. Per i fornitori si applicano le misure documentate nei rispettivi DPA. In caso di violazione dei dati personali che possa comportare un rischio per i tuoi diritti, notifico il Garante entro 72 ore e te lo comunico se ti riguarda direttamente.
9. Modifiche
Posso aggiornare questa informativa. La data di ultimo aggiornamento è in cima. Per modifiche sostanziali, ti darò evidenza in homepage o via email.