Privacy Policy

Data ultimo aggiornamento: Marzo 2026

1. Titolare del Trattamento

Titolare: Irina Ponitkova — Libera professionista
Business: innovacon.me — Consulenza Commerciale, Digitale e AI per PMI Manifatturiere B2B
Email: info@innovacon.me
Domicilio: Verona, Italia
Giurisdizione: Italia — GDPR UE 2016/679

2. Che Dati Raccogliamo e Perché

2.1 Dati Raccolti Tramite Form di Contatto

Quando compili un form sul sito (Diagnosi, Percorso, Presidio, Workshop, o Richiesta Generica), raccogliamo:

• Nome (obbligatorio)
• Email (obbligatorio)
• Azienda (se richiesto dal form specifico)
• Fatturato indicativo (se richiesto dal form Diagnosi)
• Messaggio/Descrizione (facoltativo, dove presente)

Basi giuridiche e finalità (distinte per GDPR art. 6):

Finalità A — Gestione della richiesta
Base legale: Esecuzione di misure pre-contrattuali su richiesta dell'interessato (art. 6(1)(b)) oppure, per richieste generiche, legittimo interesse (art. 6(1)(f)).
Scopo: Rispondere alla tua richiesta, organizzare la call, gestire la relazione iniziale.

Finalità B — Follow-up commerciale e comunicazioni sui servizi
Base legale: Consenso esplicito (checkbox dedicata nel form, art. 6(1)(a) + art. 7).
Scopo: Inviarti comunicazioni relative a servizi, contenuti e iniziative di innovacon.me via email. Puoi revocare il consenso in qualsiasi momento.

Finalità C — Segmentazione del contatto nel CRM
Base legale: Legittimo interesse (art. 6(1)(f)) — organizzare il follow-up in modo pertinente.
Scopo: Classificare il contatto nel CRM (es. servizio richiesto, settore, dimensione aziendale) sulla base delle informazioni fornite. Questa classificazione non produce decisioni automatizzate con effetti giuridici sull'interessato; serve solo a gestire la relazione e proporre contenuti pertinenti.

Tempo di conservazione:

• Se non rispondi in 24 mesi: cancellazione automatica
• Se prosegui l'engagement: fino a 5 anni dal contatto (periodo di conservazione reasonevole per follow-up commerciale e archiviazione)
• Dopo la relazione commerciale conclusa: ulteriori 5 anni (per obblighi amministrativi/fiscali italiani)

2.1a Conferimento dei Dati — Obbligatorio o Facoltativo?

• Nome ed email: obbligatori per gestire la tua richiesta. Se non li fornisci, non sarà possibile ricontattarti.
• Azienda e fatturato indicativo (solo dove richiesto nel form Diagnosi): utili per qualificare la richiesta e proporti un servizio pertinente. Se non li fornisci, potremo chiederteli durante la call.
• Messaggio/descrizione: facoltativo.
• Consenso al follow-up commerciale (checkbox dedicata): facoltativo. Se non lo presti, gestirò solo la tua richiesta iniziale senza inviarti comunicazioni successive.

2.2 Dati Raccolti via Google Analytics 4 (GA4)

Se hai accettato i cookie di analytics, raccogliamo dati di navigazione pseudonimizzati:

• Pagine visitate
• Tempo trascorso sul sito
• Dispositivo, browser, sistema operativo
• Provenienza (search, referral, social, direct)
• Interazioni (click, scroll, visualizzazione contenuto)

Base legale: Consenso esplicito via banner di cookie
Scopo: Capire come gli utenti usano il sito per migliorare l'esperienza
Retention GA4: 14 mesi (impostazione predefinita Google)
Nota sulla pseudonimizzazione: GA4 è configurato con IP anonymization attivo e senza funzionalità di advertising. I dati raccolti sono aggregati e pseudonimizzati: non vengono collegati al tuo nome o email. Tuttavia, poiché Google LLC riceve comunque dati tecnici di navigazione, non si tratta di anonimizzazione in senso GDPR (art. 4(1)). Resta un trasferimento extra-UE soggetto a SCC (vedi Sezione 8).

2.3 Dati Raccolti via Calendly (Booking)

Se prenoti una call via Calendly (integrato con HubSpot):

• Email
• Nome
• Orario selezionato
• Qualsiasi nota aggiunta al booking

Base legale: Consenso esplicito all'atto del booking
Scopo: Confermare e gestire la call
Retention: 2 anni post-call (per follow-up e archivio)
Integrazione: I dati vengono sincronizzati con HubSpot CRM

2.4 Dati Tecnici (Automatici)

• Indirizzo IP (raccolto dal webspace hosting per sicurezza e diagnostica)
• Cookie di sessione (per login/autenticazione, se presenti in future aree protette)
• Log di accesso (hosting, per diagnostica e sicurezza)
• Font caricati localmente (Google Fonts in `/fonts/` — nessun tracking da CDN)

Base legale: Legittimo interesse (sicurezza infrastruttura)
Retention: 30 giorni (standard di sicurezza hosting)

3. Con Chi Condividiamo i Tuoi Dati

3.1 Fornitori (Data Processor)

I tuoi dati sono condivisi solo con questi fornitori, su base necessaria:

Fornitore	Dati Condivisi	Scopo	DPA
HubSpot (CRM)	Nome, Email, Azienda, Fatturato, Conversazioni	Gestione lead, follow-up commerciale	✅
Calendly	Email, Nome, Orario booking	Gestione prenotazioni call	✅
IONOS SE (Webspace Hosting)	IP tecnico, log accesso	Hosting sito, sicurezza	✅
Google Analytics	Dati di navigazione pseudonimizzati	Analytics comportamento utenti	✅

Nota sui font: I font Google (Cormorant Garamond, Lato) sono caricati localmente nella cartella /fonts/. Non c'è tracking da CDN esterno — il caricamento non genera richieste a server Google.

3.2 Condivisione Legale

I tuoi dati possono essere divulgati se richiesto da:

• Autorità italiane/UE (Guardia di Finanza, Polizia, Magistratura)
• Legge italiana (es. obblighi fiscali, tracciabilità finanziaria)

Cercherò di avvisarti prima, salvo divieto di legge.

3.3 NO alla Cessione Commerciale

I tuoi dati non sono venduti, non sono ceduti ad altri fornitori o partner commerciali. Il CRM è privato.

4. I Tuoi Diritti (GDPR Articolo 15–22)

Hai diritto a:

• ✅ Accesso: Chiedere una copia di tutti i dati che abbiamo su di te
• ✅ Rettifica: Corriggerli se sono inesatti
• ✅ Cancellazione ("Diritto all'Oblio"): Chiedere la cancellazione (con eccezioni per obblighi legali)
• ✅ Portabilità: Ottenere i dati in formato leggibile (es. CSV)
• ✅ Obiezione: Opporti al trattamento per finalità di marketing
• ✅ Limitazione del trattamento (art. 18): Chiedere di limitare il trattamento in attesa di verifica o contestazione
• ✅ Revoca del Consenso: Revocare in qualsiasi momento il consenso ai cookie/analytics o al follow-up commerciale, senza pregiudicare la liceità del trattamento precedente
• ✅ Reclamo all'Autorità (art. 77): Presentare reclamo al Garante Privacy Italiano se ritieni che il trattamento violi il GDPR

Come esercitare i diritti:
Scrivi a privacy@innovacon.me con:

• Nome e indirizzo email usato nel form
• Descrizione del diritto che intendi esercitare
• Documento d'identità solo se necessario per verificare la tua identità (non richiesto sistematicamente — ti contatterò se necessario per accertamenti specifici)

Risponderò entro 30 giorni (termine GDPR art. 12). In casi complessi, il termine può essere prorogato di ulteriori 60 giorni, con comunicazione motivata.

5. Sicurezza dei Dati

5.1 Misure Tecniche

• ✅ HTTPS — tutto il sito è in TLS/SSL (certificato Let's Encrypt)
• ✅ HubSpot — crittografia a riposo + 2FA abilitato su account admin
• ✅ IONOS SE — webspace hosting con standard di sicurezza del provider
• ✅ IP Masking — GA4 è configurato con IP anonymization
• ✅ Font locali — Google Fonts in /fonts/, nessun tracking CDN

5.2 Accesso ai Dati

Solo Irina Ponitkova ha accesso al CRM HubSpot e ai dati raccolti. Non delego l'accesso.

6. Cookie Policy Sintetica

Cookie Essenziali (Sempre Attivi)

• Cookie di sessione del webspace hosting (sicurezza)
• Cookie di consenso (per ricordare le tue scelte)

Non richiedono consenso (sono necessari al funzionamento del sito).

Cookie Analitici (Richiedono Consenso)

• Google Analytics 4 — tracciamento pseudonimizzato del comportamento
• Attivati solo se accetti il banner di cookie
• Puoi revocare il consenso in qualsiasi momento dal banner

👉 Leggi la Cookie Policy completa

7. Data Breach — Cosa Accade se Succede un Incidente

In caso di violazione dei dati personali (data breach), le procedure seguono gli artt. 33–34 GDPR:

• Notifica al Garante Privacy Italiano (art. 33): entro 72 ore dalla scoperta, qualora la violazione presenti un rischio per i diritti e le libertà degli interessati. Se la notifica non è possibile entro le 72 ore, verrà trasmessa con le motivazioni del ritardo.
• Comunicazione agli interessati (art. 34): senza ingiustificato ritardo, se la violazione è suscettibile di causare un rischio elevato per i tuoi diritti e libertà. La comunicazione descriverà l'incidente, i dati coinvolti e le misure adottate.
• Documentazione interna (art. 33(5)): ogni violazione viene documentata internamente, indipendentemente dall'obbligo di notifica.

8. Trasferimento Dati Extra-UE

HubSpot (USA) e Google Analytics (USA) trasferiscono dati al di fuori dell'UE.
Base legale: Standard Contractual Clauses (SCC) + Data Transfer Impact Assessment (DTIA).

Entrambi i provider hanno aderito alle Standard Contractual Clauses approvate dalla Commissione UE e hanno effettuato Data Transfer Impact Assessment (DTIA) per valutare i rischi del trasferimento verso gli USA, tenuto conto del Data Privacy Framework EU-USA (2023).

Per ottenere informazioni sulle garanzie specifiche adottate dai singoli provider, puoi consultare direttamente le loro DPA/privacy policy o contattarmi a privacy@innovacon.me.

• HubSpot DPA: legal.hubspot.com/dpa
• Google Analytics / Data Processing: business.safety.google/gdpr

9. Dati di Minori

Questo sito è rivolto a imprenditori e direttori commerciali, non a minori.
Non raccogliamo intenzionalmente dati di minori di 18 anni.
Se scopro che un minore ha fornito dati via form, li cancellerò immediatamente.

10. Aggiornamenti a Questa Policy

Questa policy può essere aggiornata per:

• Cambiamenti di legge
• Nuovi servizi aggiunti al sito
• Nuovi fornitori di dati

Gli aggiornamenti significativi ti saranno notificati via email (se registrato nel CRM) o tramite avviso in evidenza sul sito. Se gli aggiornamenti riguardano trattamenti che richiedono il tuo consenso, verrà richiesto un nuovo consenso esplicito prima di procedere con il nuovo trattamento. La semplice navigazione del sito non costituisce accettazione di aggiornamenti alla presente policy.

11. Contatti

Per domande su questa policy o per esercitare i tuoi diritti:

• 📧 Email: privacy@innovacon.me
• 📧 Email Alternativa: info@innovacon.me
• 🌍 Sito: www.innovacon.me
• 📍 Ubicazione: Verona, Italia

Autorità di Controllo (se hai reclami):
Garante Privacy Italia — Tel. +39 06 696771 — Piazza di Monte Citorio, 121, Roma

12. Note Legali

Questa Privacy Policy è redatta in conformità a:

• GDPR UE 2016/679 (Regolamento Generale sulla Protezione dei Dati)
• Codice della Privacy italiano (D.Lgs 196/2003)
• Linee Guida EDPB (European Data Protection Board)
• Pronunciamenti Garante Privacy Italiano

Non è una consulenza legale. Per questioni legali specifiche, contatta un avvocato specializzato in privacy.