Informativa sul Trattamento dei Dati Personali

Ai sensi dell'art. 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018

Ultima modifica: 27 marzo 2026 — Versione 2.5

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

Lorenzo Giordano

P.IVA: 12840440015

Indirizzo: Stradale Pinerolo 59, 10060 Bricherasio (TO)

E-mail: privacy@mira-dashboard.it

Sito web: https://www.mira-dashboard.it

Per qualsiasi questione relativa al trattamento dei dati personali, è possibile contattare il Titolare all'indirizzo e-mail sopra indicato.

Responsabile della Protezione dei Dati (DPO):ai sensi dell'art. 37 GDPR, la designazione di un DPO non è obbligatoria per MIRA in quanto il trattamento non rientra nelle ipotesi di cui all'art. 37, par. 1, lettere b) e c) GDPR (trattamento su larga scala di categorie particolari di dati o monitoraggio sistematico su larga scala). Non è stato pertanto designato un DPO. Per le richieste in materia di protezione dei dati, fare riferimento all'indirizzo e-mail del Titolare indicato sopra.

2. Natura e Struttura della Piattaforma

MIRA è una piattaforma SaaS (Software as a Service) destinata ad agenzie di marketing e concessionarie automobilistiche (di seguito: “Clienti Business”). La piattaforma consente ai Clienti Business di:

gestire lead provenienti da campagne Meta (Facebook/Instagram) tramite CRM integrato;
automatizzare l'invio di e-mail di follow-up ai propri clienti finali (lead);
sincronizzare appuntamenti con Google Calendar;
monitorare performance pubblicitarie tramite Meta Graph API;
generare contenuti e report.

Rapporto Titolare/Responsabile ex Art. 28 GDPR: con riferimento ai dati personali dei lead (clienti finali delle concessionarie), MIRA agisce in qualità di Responsabile del trattamento per conto dei Clienti Business, che rimangono Titolari del trattamentonei confronti delle persone fisiche interessate. Il rapporto deve essere regolato da un apposito Accordo sul Trattamento dei Dati (DPA) da stipularsi con ciascun Cliente Business ai sensi dell'art. 28 GDPR (vedi Sezione 10).

3. Categorie di Dati Trattati e Finalità

3.1 Dati degli Operatori (Utenti della Piattaforma)

Sono gli utenti che accedono a MIRA per conto del Cliente Business (agenti, responsabili di filiale, direttori generali).

Dato	Finalità	Base giuridica
Indirizzo e-mail, nome e cognome	Autenticazione tramite Google OAuth 2.0 e gestione account	Art. 6.1.b — esecuzione del contratto
Avatar (foto profilo)	Identificazione visiva nell'interfaccia	Art. 6.1.b — esecuzione del contratto
Preferenze interfaccia	Memorizzare impostazioni utente tra sessioni	Art. 6.1.f — legittimo interesse (miglioramento UX)
Token di accesso Google Calendar (cifrati AES-256-GCM)	Sincronizzazione bidirezionale con Google Calendar	Art. 6.1.b — esecuzione del contratto

3.2 Dati dei Lead (Clienti Finali delle Concessionarie)

Sono dati di persone fisiche raccolti tramite Meta Lead Ads (Instant Form) e gestiti nel CRM.

⚠️ MIRA tratta questi dati in qualità di Responsabile ex Art. 28 GDPR per conto del Cliente Business.

Dato	Provenienza	Finalità	Base giuridica del Titolare
Nome, cognome	Meta Instant Form	Gestione lead nel CRM, personalizzazione e-mail	Art. 6.1.b o Art. 6.1.f del Cliente Business
Indirizzo e-mail	Meta Instant Form	Invio e-mail automatica di follow-up	Art. 6.1.b o Art. 6.1.f del Cliente Business
Numero di telefono	Meta Instant Form	Contatto commerciale da parte della concessionaria	Art. 6.1.b o Art. 6.1.f del Cliente Business
Provincia	Meta Instant Form	Segmentazione geografica nel CRM	Art. 6.1.b o Art. 6.1.f del Cliente Business
Dettagli interesse veicolo	Meta Instant Form / inserimento manuale	Qualificazione lead nel CRM	Art. 6.1.b o Art. 6.1.f del Cliente Business
Note operative	Inserimento manuale operatore	Tracciamento trattativa commerciale	Art. 6.1.b o Art. 6.1.f del Cliente Business
Data/ora appuntamento	Calendario MIRA	Gestione agenda commerciale	Art. 6.1.b o Art. 6.1.f del Cliente Business
Meta Leadgen ID	Webhook Meta	Identificativo tecnico per evitare duplicati	Art. 6.1.b del Cliente Business

3.3 Dati di Performance Pubblicitaria

Dati aggregati e pseudonimizzati relativi alle campagne Meta (spesa, impression, lead count, ROAS). Non contengono dati identificativi di persone fisiche. Trattati ai sensi dell'art. 6.1.b GDPR per l'esecuzione del contratto.

3.4 Contenuti Generati dalla Piattaforma

Immagini caricate per Virtual Staging (immobili) e report PDF: non contengono dati personali di persone fisiche identificabili.

3.5 Dati di Navigazione Tecnici (Log Server)

Ai sensi del Considerando 30 GDPR, gli indirizzi IP costituiscono dati personali in quanto possono consentire l'identificazione indiretta delle persone fisiche.

Dato	Finalità	Base giuridica	Conservazione
Indirizzo IP, user-agent, timestamp richieste HTTP	Sicurezza, gestione traffico, diagnostica errori	Art. 6.1.f — legittimo interesse	Massimo 30 giorni (log Vercel)

Questi dati sono raccolti automaticamente dall'infrastruttura di hosting (Vercel Inc.) per tutte le richieste HTTP. Non sono utilizzati per profilazione o tracciamento comportamentale.

4. Modalità di Raccolta dei Dati dei Lead

I dati personali dei lead vengono acquisiti esclusivamente tramite:

Meta Lead Ads — Instant Form: quando un utente compila un modulo di contatto su Facebook o Instagram sponsorizzato dal Cliente Business, Meta notifica MIRA tramite webhook firmato (HMAC-SHA256). MIRA recupera i dati del lead tramite Meta Graph API v25.0 utilizzando il token di accesso del Cliente Business. Il flusso è il seguente:

Meta Instant Form (compilazione lead)
  → Webhook HTTP firmato → MIRA (verifica HMAC)
  → Coda QStash (Upstash) → Worker MIRA
  → Fetch dati lead via Meta Graph API
  → Salvataggio in DB Supabase (CRM)
  → Invio e-mail automatica via Resend (se configurata)

I lead possono anche essere inseriti manualmente dagli operatori direttamente nel CRM.

5. Invio E-mail Automatiche

Quando viene ricevuto un nuovo lead tramite Meta Lead Ads e il Cliente Business ha configurato un'automazione e-mail, MIRA invia automaticamente un'e-mail al lead tramite Resend Inc. (sub-processor, USA — vedi Sezione 7).

I dati trasmessi a Resend per l'invio includono: indirizzo e-mail del destinatario, nome del lead (per personalizzazione), testo dell'e-mail elaborato con template del Cliente Business.

MIRA può generare link tracciati all'interno delle e-mail per misurare i click. I dati di click (e-mail, ID lead, timestamp) sono conservati nel database per un massimo di 30 giorni e utilizzati esclusivamente per finalità statistiche del Cliente Business.

MIRA invia inoltre e-mail di conferma appuntamento al cliente finale (lead) su richiesta dell'operatore. L'e-mail contiene: data e ora dell'appuntamento, titolo dell'evento (che può includere il nome del lead e dettagli del veicolo di interesse), e — se attivata dall'operatore — un allegato .icsper l'aggiunta automatica al calendario personale del destinatario.

Responsabilità del Cliente Business sul tracking:il tracking dei click nelle e-mail di marketing B2C è oggetto di orientamento specifico del Garante italiano. Il Cliente Business (Titolare del trattamento) è responsabile di garantire adeguata informativa al lead sull'utilizzo del tracking, verificare la disponibilità di un'idonea base giuridica (legittimo interesse o consenso), e documentare la relativa valutazione di bilanciamento se si avvale del legittimo interesse ex art. 6.1.f GDPR.

6. Integrazione Google Calendar — Trasferimento Dati verso USA

La funzionalità di sincronizzazione calendario comporta il trasferimento di dati personali verso Google LLC (USA).

Dati trasferiti:titolo dell'evento, descrizione (che può includere nome e cognome del lead e dettagli del veicolo di interesse), location, data e ora dell'appuntamento.

Base del trasferimento: il trasferimento verso gli USA avviene sulla base delle Clausole Contrattuali Standard (SCCs)adottate dalla Commissione Europea ai sensi dell'art. 46, par. 2, lett. c) GDPR. L'utente operatore che attiva la sincronizzazione Google Calendar presta il proprio consenso esplicito all'interno della piattaforma prima di avviare il collegamento OAuth.

Minimizzazione: i token di accesso Google sono cifrati con algoritmo AES-256-GCM prima della conservazione in database. La chiave di cifratura non è mai esposta in chiaro nei log o nel codice client-side.

Per maggiori informazioni sul trattamento da parte di Google: policies.google.com/privacy

7. Responsabili del Trattamento (Sub-processor) e Trasferimenti Internazionali

MIRA si avvale dei seguenti soggetti terzi in qualità di Responsabili del trattamento ai sensi dell'art. 28 GDPR. Tutti i sub-processor extra-UE trattano i dati sulla base di Clausole Contrattuali Standard (SCCs) ex art. 46 GDPR salvo diversa indicazione.

Sub-processor	Servizio	Sede / Server	Trasf. extra-UE	Link DPA/Privacy
Supabase Inc.	Database, autenticazione, storage	🇩🇪 Francoforte (UE)	No	supabase.com/privacy
Vercel Inc.	Hosting serverless, edge functions; elaborazione webhook Meta in transito — inclusi dati personali dei lead	🇺🇸 USA	Sì — SCCs	vercel.com/legal/privacy-policy
Resend Inc.	Invio e-mail transazionali ai lead	🇺🇸 USA	Sì — SCCs	resend.com/legal/privacy-policy
Upstash Inc. (QStash)	Coda messaggi asincrona (webhook Meta, reminder calendario)	🇺🇸 USA	Sì — SCCs	upstash.com/trust/privacy.pdf
Meta Platforms Ireland Ltd.	Meta Graph API, Lead Ads webhook, Conversions API	🇮🇪 UE + 🇺🇸 USA	Parziale — SCCs	facebook.com/privacy/policy
Google LLC	Google Calendar API, OAuth 2.0	🇺🇸 USA	Sì — SCCs	policies.google.com/privacy
Groq Inc.	LLM per generazione caption AI (`llama-3.3-70b-versatile`)	🇺🇸 USA	Sì — SCCs	groq.com/privacy-policy
Fal.ai Inc.	Elaborazione immagini per Virtual Staging	🇺🇸 USA	Sì — SCCs	fal.ai/privacy

Nota Groq: i prompt inviati a Groq per la generazione di caption contengono il nome commerciale del Cliente Business (dato B2B, non dato personale di persona fisica) e un campo context a testo libero inserito dall'operatore. L'analisi del codice conferma che nessun dato del CRM (lead) viene trasmesso a Groq in modo sistematico. Tuttavia, poiché il campo context è testo libero, un operatore potrebbe teoricamente inserirvi dati personali. Il Cliente Business è responsabile di istruire i propri operatori a non includere dati personali di persone fisiche nei prompt AI.

Nota Fal.ai: le immagini elaborate per il Virtual Staging riguardano immobili, non persone fisiche identificabili.

8. Cookie e Tecnologie di Tracciamento

MIRA utilizza esclusivamente cookie tecnici e di preferenza. Non sono impiegati cookie di profilazione, tracciamento pubblicitario o analytics di terze parti.

Cookie / Storage	Tipo	Durata	Finalità
sb-*	Tecnico sessione	Sessione	Autenticazione — strettamente necessario (esenzione art. 82 D.Lgs. 196/2003)
mira_date_preset	Preferenza	30 giorni	Memorizza intervallo date selezionato nella dashboard
mira_cookie_consent	Tecnico	Persistente (localStorage)	Preferenze cookie espresse tramite il banner (struttura v1.0: `{necessary, preferences, timestamp, version}`). Mostrato di nuovo se versione < v1.0.
gcal_sync_done_*	Tecnico	Persistente (localStorage)	Traccia completamento setup Google Calendar per client

I cookie tecnici di sessione Supabase sono strettamente necessari al funzionamento della piattaforma e non richiedono consenso preventivo ai sensi dell'art. 82 D.Lgs. 196/2003 (recepimento Direttiva ePrivacy).

Gestione preferenze tramite banner cookie: al primo accesso alla piattaforma (o quando non è presente una scelta valida v1.0) viene mostrato un banner che consente di: accettare tutti i cookie, rifiutare tutto (i cookie di preferenza vengono disabilitati e mira_date_preset viene cancellato), oppure personalizzare la scelta categoria per categoria. La preferenza è modificabile in qualsiasi momento cancellando mira_cookie_consent dal browser o contattando privacy@mira-dashboard.it.

9. Conservazione dei Dati

Categoria	Durata conservazione
Dati di profilo operatori	Per tutta la durata del contratto + 12 mesi dalla chiusura account
Lead nel CRM	Massimo 24 mesi dall'ultimo contatto ¹, salvo diversa istruzione del Cliente Business; cancellazione immediata su richiesta
Token Google Calendar (cifrati)	Fino alla disconnessione da parte dell'operatore
Log invio e-mail (Resend)	Massimo 30 giorni
Click tracking e-mail	Massimo 30 giorni
Log QStash (Upstash)	Secondo la policy di Upstash (max 7 giorni per piano standard)
Log applicativi Vercel	Massimo 30 giorni
Report PDF campagne	Fino a cancellazione manuale da parte dell'operatore
Immagini Virtual Staging	Fino a cancellazione manuale da parte dell'operatore

¹ Per “ultimo contatto” si intende l'ultima modifica del record lead nel CRM da parte di un operatore (cambio stage, aggiornamento dati, registrazione appuntamento). Il calcolo è basato sul campo updated_at della tabella crm_leads. La tabella di tracciamento click e-mail (email_click_tokens) è strutturalmente separata; gli eventi di click non prolungano il periodo di conservazione.

10. Rapporto Titolare–Responsabile del Trattamento (Art. 28 GDPR)

Le concessionarie e agenzie che utilizzano MIRA in relazione al trattamento dei dati personali dei propri lead agiscono in qualità di Titolari del trattamento. MIRA agisce in qualità di Responsabile del trattamentoai sensi dell'art. 28 GDPR.

A tal fine, tra MIRA e ciascun Cliente Business deve essere stipulato un apposito Accordo sul Trattamento dei Dati (Data Processing Agreement — DPA) ai sensi dell'art. 28, par. 3 GDPR, che disciplina:

le istruzioni documentate impartite dal Titolare al Responsabile;
le misure di sicurezza tecniche e organizzative adottate da MIRA;
i sub-processor coinvolti e le relative garanzie;
le modalità di esercizio dei diritti degli interessati;
le procedure di notifica in caso di violazione dei dati (data breach).

I Clienti Business sono responsabili di:

informare correttamente i propri lead sul trattamento dei dati tramite idonea informativa ai sensi dell'art. 13 GDPR;
raccogliere una valida base giuridica per il trattamento (consenso, contratto o legittimo interesse);
gestire le richieste di esercizio dei diritti degli interessati che pervengono direttamente al Cliente Business.

11. Diritti degli Interessati (Artt. 15–22 GDPR)

Le persone fisiche i cui dati sono trattati tramite MIRA possono esercitare i seguenti diritti:

Diritto	Art. GDPR	Descrizione
Accesso	Art. 15	Ottenere conferma del trattamento e copia dei propri dati
Rettifica	Art. 16	Correggere dati inesatti o incompleti
Cancellazione	Art. 17	Richiedere l'eliminazione dei propri dati
Limitazione	Art. 18	Sospendere il trattamento in determinati casi
Portabilità	Art. 20	Ricevere i propri dati in formato strutturato e leggibile da macchina
Opposizione	Art. 21	Opporsi al trattamento basato su legittimo interesse
Revoca del consenso	Art. 7.3	Revocare il consenso in qualsiasi momento (ove il trattamento si basi su di esso)

Per i lead (clienti finali delle concessionarie): le richieste di esercizio dei diritti devono essere indirizzate direttamente alla concessionaria di riferimento (Titolare del trattamento). MIRA è tenuta a collaborare con il Cliente Business nel dare seguito alle richieste entro i termini di legge.

Per gli operatori (utenti della piattaforma): le richieste possono essere inviate a: privacy@mira-dashboard.it

MIRA risponde entro 30 giorni dalla ricezione della richiesta. In caso di complessità, il termine può essere prorogato di ulteriori 60 giorni, con comunicazione motivata entro il primo mese (art. 12.3 GDPR).

Hai inoltre il diritto di proporre reclamo all'autorità di controllo competente:

Garante per la Protezione dei Dati Personali

Piazza Venezia 11 — 00187 Roma

www.garanteprivacy.it | garante@gpdp.it

12. Sicurezza dei Dati

MIRA adotta le seguenti misure tecniche e organizzative ai sensi dell'art. 32 GDPR:

Cifratura in transito: TLS 1.2/1.3 su tutte le comunicazioni HTTP
Cifratura a riposo: token Google Calendar cifrati con AES-256-GCM; chiavi API di terze parti non esposte lato client
Row-Level Security (RLS): ogni operatore accede esclusivamente ai dati del proprio Cliente Business (Supabase RLS)
Verifica integrità webhook: firma HMAC-SHA256 su tutti i webhook Meta; firma Upstash su tutti i messaggi QStash
Header HTTP di sicurezza: HSTS, Content Security Policy (CSP) basata su nonce, X-Frame-Options, X-Content-Type-Options
Autenticazione: OAuth 2.0 (Google) — nessuna password salvata da MIRA
Separazione client browser/server: due client Supabase distinti; il Service Role Key non è mai esposto al browser
Principio del minimo privilegio: ogni componente accede solo ai dati strettamente necessari alla propria funzione

13. Violazione dei Dati Personali (Artt. 33–34 GDPR)

In caso di violazione dei dati personali (data breach), MIRA adotta la seguente procedura:

Notifica all'Autorità di Controllo (Art. 33 GDPR): nel caso in cui la violazione comporti un rischio per i diritti e le libertà delle persone fisiche, il Titolare del trattamento notifica il Garante entro 72 ore dalla scoperta, salvo che sia improbabile che la violazione presenti tale rischio.

Distinzione di ruoli nella notifica al Garante: per i dati degli operatori della piattaforma, MIRA è Titolare e ha l'obbligo diretto di notifica al Garante. Per i dati dei lead, essendo MIRA Responsabile del trattamento ex Art. 28, l'obbligo di notifica al Garante compete al Cliente Business (Titolare). In questo caso MIRA notifica il Cliente Business senza ritardo, comunque entro 24 ore dalla scoperta, per consentirgli di rispettare il termine delle 72 ore previsto dall'art. 33 GDPR.

Notifica agli Interessati (Art. 34 GDPR): qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, MIRA o il Cliente Business comunica la violazione agli interessati direttamente coinvolti senza ingiustificato ritardo, in linguaggio chiaro e semplice, indicando: natura della violazione, dati di contatto del Titolare, probabile impatto, misure adottate.

Esonero dalla notifica agli interessati: non è dovuta comunicazione diretta se i dati erano cifrati con chiave non compromessa, se sono state adottate misure che eliminano il rischio elevato, o se la comunicazione richiederebbe uno sforzo sproporzionato.

14. Aggiornamenti all'Informativa

La presente informativa può essere aggiornata per riflettere modifiche alla piattaforma, alle normative vigenti o ai sub-processor coinvolti. La data dell'ultima modifica è indicata in cima al documento.

In caso di modifiche sostanziali che incidano sui diritti degli interessati, MIRA notificherà gli operatori tramite:

avviso nella dashboard al primo accesso successivo alla modifica;
e-mail all'indirizzo registrato (per modifiche di particolare rilevanza).

La versione storica delle informative precedenti è disponibile su richiesta a privacy@mira-dashboard.it.

15. Cookie Policy Sintetica (Frontend Pubblico)

Le pagine pubbliche di MIRA (es. /privacy, /terms, pagine di invito) non utilizzano cookie di profilazione né strumenti di analytics di terze parti. Per i dettagli sulla raccolta dei dati di navigazione tecnici (indirizzi IP, user-agent, timestamp), incluse finalità, base giuridica e tempi di conservazione, si rimanda alla Sezione 3.5.

Non è richiesto un banner cookie per le pagine pubbliche in quanto non vengono impiegati cookie non essenziali.

Informativa sul trattamento dei dati personali della piattaforma MIRA — versione marzo 2026.