Privacy Policy & Informativa GDPR

Ultimo aggiornamento: 3 maggio 2026 · Versione 3.0 · DockFM® è un marchio registrato.

In sintesi (TL;DR): trattiamo i tuoi dati per erogarti il servizio DockFM®, inviarti comunicazioni di servizio, tutelare la sicurezza e — solo con il tuo consenso — per analitiche aggregate. Puoi accedere, rettificare, cancellare i tuoi dati e revocare il consenso in qualsiasi momento scrivendo a privacy@dockfm.it. I pagamenti sono gestiti da Lemon Squeezy (Merchant of Record), che agisce come titolare autonomo per la fatturazione fiscale e come responsabile per i dati di checkout. Conformi al Reg. UE 2016/679 (GDPR), D.Lgs. 196/2003 e ss.mm.ii. e Reg. UE 2024/1689 (AI Act).

1. Titolare del trattamento

Il Titolare del trattamento è il Team di DockFM® (progetto indipendente in fase di costituzione societaria), con sede operativa a Milano (Italia).

  • Email privacy: privacy@dockfm.it
  • Email legale: legal@dockfm.it
  • DPO/Privacy Officer: non obbligatorio ai sensi dell'art. 37 GDPR; punto di contatto operativo via email sopra indicate.
  • Marchio: "DockFM" è un marchio registrato; tutti i diritti sono riservati.

2. Categorie di dati trattati

Trattiamo le seguenti categorie di dati personali:

  • Dati identificativi e di account: nome, cognome, email, password (cifrata con hash bcrypt/argon2), nome stazione/azienda, settore, partita IVA (B2B), preferenze account.
  • Dati di pagamento e fatturazione: raccolti e trattati direttamente da Lemon Squeezy, Inc. in qualità di Merchant of Record (PCI-DSS Level 1). DockFM riceve solo dati di esito transazione, ID ordine, ultime 4 cifre della carta e indirizzo di fatturazione per gli adempimenti contabili.
  • Dati di navigazione: indirizzo IP, user-agent, referrer, pagine visitate, durata della sessione, log tecnici di sicurezza (conservati anche senza consenso ai fini dell'art. 6.1.f GDPR).
  • Dati di dispositivo e licenza: fingerprint hardware, identificatori di installazione (per gestione licenze e antifrode).
  • Contenuti utente: librerie audio, palinsesti, jingle, metadati che carichi nella piattaforma (la titolarità resta tua — vedi DPA).
  • Dati AI/Voice Cloning: sample audio caricati per addestramento di voci sintetiche; trattamento speciale — vedi sezione 11.
  • Dati di comunicazione: messaggi inviati via chat (Tawk.to), email di supporto, ticket.
  • Categorie particolari (art. 9 GDPR): di norma non trattate. Eventuali dati biometrici vocali derivanti dal voice cloning richiedono consenso esplicito separato.

3. Finalità, base giuridica, conservazione

Finalità Base giuridica (art. 6 GDPR) Conservazione
Erogazione servizio, account, autenticazione b) Esecuzione contratto Durata account + 12 mesi
Fatturazione, contabilità, obblighi fiscali c) Obbligo di legge (DPR 633/72) 10 anni (art. 2220 c.c.)
Sicurezza, antifrode, log tecnici f) Interesse legittimo 12 mesi
Comunicazioni di servizio (transazionali) b) Esecuzione contratto Durata account
Analytics aggregata (Google Analytics anonimizzato) a) Consenso 14 mesi
Marketing diretto (newsletter) a) Consenso (revocabile) Fino a revoca
Voice Cloning AI a) Consenso esplicito (art. 9.2.a) Fino a revoca o cessazione abbonamento
Difesa in giudizio f) Interesse legittimo Fino al termine prescrizionale

4. Responsabili esterni del trattamento (art. 28 GDPR)

Per erogare il servizio ci avvaliamo dei seguenti fornitori, ciascuno nominato responsabile esterno con apposito DPA o contratto equivalente:

Fornitore Ruolo Sede / Trasferimento
Lemon Squeezy, Inc. Merchant of Record (titolare autonomo per fatturazione) + responsabile per dati checkout USA — SCC art. 46 GDPR + DPF
Supabase, Inc. Database PostgreSQL, autenticazione, storage UE (Francoforte) — nessun trasferimento extra-UE per dati EU
Vercel, Inc. Hosting frontend, CDN, edge functions USA — SCC + DPF; CDN edge UE
Cloudflare, Inc. CDN, DDoS protection, DNS USA — SCC + DPF
Google LLC (Analytics) Analytics anonimizzata (solo con consenso) USA — SCC + DPF
Tawk.to, Inc. Chat live di supporto USA — SCC
Microsoft Corporation (Edge TTS / Azure) Sintesi vocale text-to-speech USA/UE — SCC + DPF
Resend / Postmark (email transazionali) Invio email di servizio USA — SCC + DPF

L'elenco completo e aggiornato dei sub-responsabili è disponibile a richiesta scrivendo a privacy@dockfm.it. Variazioni significative vengono comunicate preventivamente.

5. Trasferimenti extra-UE

Alcuni fornitori sopra elencati hanno sede negli Stati Uniti. I trasferimenti avvengono in base a: (i) EU-US Data Privacy Framework (decisione di adeguatezza UE 10 luglio 2023) ove applicabile; (ii) Clausole Contrattuali Standard (Decisione UE 2021/914) e (iii) misure tecniche supplementari (cifratura at-rest e in-transit, pseudonimizzazione). Per ottenere copia delle SCC scrivi a privacy@dockfm.it.

6. Diritti dell'interessato (artt. 15-22 GDPR)

Hai sempre diritto a:

  • Accesso (art. 15) e copia dei dati
  • Rettifica (art. 16)
  • Cancellazione / oblio (art. 17)
  • Limitazione del trattamento (art. 18)
  • Portabilità in formato JSON/CSV (art. 20)
  • Opposizione al trattamento basato su interesse legittimo (art. 21)
  • Non essere sottoposto a decisioni automatizzate con effetti giuridici (art. 22)
  • Revocare il consenso in qualsiasi momento
  • Reclamo al Garante Privacy — garanteprivacy.it — o all'autorità del Paese UE in cui risiedi

Per esercitare questi diritti scrivi a privacy@dockfm.it. Risponderemo entro 30 giorni (prorogabili a 90 in casi complessi). Nessun costo, salvo richieste manifestamente infondate o eccessive.

7. Sicurezza (art. 32 GDPR)

Misure tecniche e organizzative adottate:

  • Cifratura TLS 1.3 in transito e AES-256 at-rest
  • Hash password con argon2id (saltato e peppered)
  • 2FA/MFA disponibile su account utente
  • Principio del minimo privilegio per accessi dipendenti/collaboratori
  • Backup automatici cifrati, ritenzione 30 giorni
  • Audit log immutabile delle operazioni privilegiate
  • Procedura di Data Breach Notification (art. 33-34 GDPR) entro 72 ore al Garante e tempestiva agli interessati

8. Cookie e tecnologie simili

Per la gestione dei cookie e delle tecnologie simili (pixel, local storage, fingerprinting) consulta la Cookie Policy. Puoi modificare le preferenze in qualsiasi momento dal banner cookie.

9. Funzionalità AI — AI Act 2024/1689

DockFM® integra funzionalità di intelligenza artificiale (AutoDJ, jingle generator, text-to-speech, voice cloning). Nel rispetto del Reg. UE 2024/1689 (AI Act):

  • Le AI utilizzate sono classificate a rischio limitato/minimo e segnalano sempre l'output come generato artificialmente (etichettatura art. 50 AI Act).
  • Non utilizziamo i tuoi dati personali per addestrare modelli generali di terze parti; il fine-tuning di voice cloning avviene solo sui sample che tu carichi e con il tuo consenso.
  • Esercitiamo formale opt-out al text-and-data mining ai sensi dell'art. 4 Direttiva UE 2019/790: i contenuti del Servizio non possono essere usati per addestrare AI di terzi senza autorizzazione scritta.
  • Non operiamo profilazione automatizzata ai sensi dell'art. 22 GDPR senza consenso esplicito.

10. Voice Cloning — consenso speciale

L'uso del voice cloning richiede misure rafforzate:

  • Consenso esplicito e dimostrabile della persona la cui voce viene clonata (art. 9.2.a GDPR + diritto all'immagine art. 10 c.c. + art. 96-97 L. 633/1941).
  • Sei l'unico responsabile della legittimità del consenso ottenuto da terzi; ti chiediamo dichiarazione liberatoria firmata.
  • Watermarking obbligatorio sull'output (deepfake disclosure art. 50 AI Act).
  • Divieto assoluto di clonare voci di personaggi pubblici, minorenni, deceduti senza autorizzazione degli aventi diritto.
  • Cancellazione del modello vocale entro 30 giorni dalla richiesta dell'interessato.
  • DPIA disponibile a richiesta per clienti enterprise (art. 35 GDPR).

11. Clienti business e DPA (Data Processing Agreement)

Se utilizzi DockFM® in qualità di emittente, web radio o azienda, i dati dei tuoi ascoltatori, ospiti e utenti finali sono di tua titolarità. Noi agiamo come responsabile del trattamento ai sensi dell'art. 28 GDPR. Un Data Processing Agreement (DPA) standard è disponibile pre-firmato sulla pagina dedicata e si attiva automaticamente con la sottoscrizione di qualunque piano a pagamento.

12. Marketing e profilazione

Comunicazioni di marketing diretto vengono inviate solo previo consenso opt-in, sempre revocabile via link "annulla iscrizione" o scrivendo a privacy@dockfm.it. Non effettuiamo profilazione comportamentale né vendiamo dati a terzi, mai.

13. Minori

Il Servizio non è rivolto a minori di 16 anni (art. 8 GDPR — soglia italiana art. 2-quinquies D.Lgs. 196/2003: 14 anni con consenso). Non raccogliamo consapevolmente dati di minori senza autorizzazione del titolare della responsabilità genitoriale.

14. Registro dei trattamenti

Manteniamo un Registro delle attività di trattamento ai sensi dell'art. 30 GDPR, aggiornato periodicamente, esibibile su richiesta del Garante o dell'autorità di controllo competente.

15. Modifiche all'informativa

Questa informativa può essere aggiornata. La versione vigente è sempre quella pubblicata in questa pagina con la data riportata in alto. In caso di modifiche sostanziali ti notifichiamo via email almeno 30 giorni prima dell'entrata in vigore.

16. Contatti

📧 Privacy & GDPR: privacy@dockfm.it
📧 Questioni legali: legal@dockfm.it
🇺🇹 Garante Privacy: garanteprivacy.it