Informativa sul trattamento dei dati personali

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è BS Direct S.r.l., con sede legale in Corso Giacomo Matteotti 1, 20121 Milano (MI), P.IVA 14409610962, iscritta al Registro Unico degli Intermediari assicurativi e riassicurativi (RUI) alla Sezione B con numero B000811326, parte del Gruppo Bruno Sforni SpA.

Contatto per la privacy: privacy@bsdirect.it

2. Dati raccolti

Il sito raccoglie le seguenti categorie di dati:

• Email — fornita volontariamente dall'utente per l'accesso al simulatore o per comunicazioni
• Hash IP pseudonimizzato — l'indirizzo IP è sottoposto ad hashing e utilizzato esclusivamente per finalità statistiche aggregate e di limitazione degli abusi (rate limiting); è un dato pseudonimizzato, non direttamente riconducibile alla persona
• User agent — informazioni tecniche sul browser e dispositivo utilizzato
• Dati di navigazione e provenienza — referrer, parametri UTM e landing page di ingresso, raccolti per attribuire la sorgente di traffico e per finalità statistiche aggregate
• Feedback — segnalazioni di bug e richieste di funzionalità inviate volontariamente
• Storico quiz — risultati delle simulazioni salvati localmente nel browser (localStorage) e, per gli utenti autenticati, sincronizzati con il database

3. Finalità del trattamento

• Erogazione e gestione del servizio di simulazione esame RUI
• Comunicazioni informative relative al servizio
• Gestione e risposta ai feedback degli utenti
• Analisi statistiche aggregate e anonimizzate sull'utilizzo del servizio

4. Base giuridica

Il trattamento dei dati personali si fonda sul consenso esplicito dell'interessato (art. 6, par. 1, lett. a del Regolamento UE 2016/679 — GDPR), espresso al momento della registrazione dell'email o dell'invio di feedback.

5. Cookie e strumenti di misurazione

Il sito bsdirect.it utilizza:

• Cookie e storage tecnici: localStorage per memorizzare lo stato del simulatore (storico quiz, preferenze). Questi dati restano sul dispositivo dell'utente, non sono trasmessi a BS Direct e non richiedono consenso (cookie tecnici, art. 122 Codice Privacy).
• Cookie di sessione Supabase: cookie tecnici di autenticazione impostati da Supabase per mantenere la sessione di accesso degli utenti registrati. Sono strettamente necessari all'erogazione del servizio richiesto e non richiedono consenso (art. 122 Codice Privacy).
• Storage delle preferenze cookie (consent storage): localStorage utilizzato per registrare e conservare le scelte espresse dall'utente nel cookie banner, così da non ripresentare la richiesta ad ogni visita. Cookie tecnico, non soggetto a consenso.
• Vercel Web Analytics: strumento di misurazione statistica aggregata fornito da Vercel Inc. (USA). Raccoglie pagine visitate, data/ora, browser, paese di provenienza, tramite un hash IP non riconducibile alla persona. Soggetto al medesimo regime del cookie analitico ai sensi delle Linee guida del Garante Privacy del 10/06/2021. Viene attivato solo previo consenso espresso attraverso il cookie banner.
• Vercel Speed Insights: strumento di monitoraggio delle performance tecniche (Core Web Vitals) fornito da Vercel Inc. (USA). Raccoglie metriche anonime sulla velocità di caricamento. Soggetto a consenso come sopra.

L'utente può modificare le proprie preferenze in qualsiasi momento tramite il link “Gestisci cookie” presente in footer.

6. Destinatari dei dati e responsabili del trattamento

I dati sono trattati dal Titolare e dai seguenti fornitori esterni designati responsabili ex art. 28 GDPR:

• Vercel Inc. (340 S Lemon Ave #4133, Walnut CA 91789, USA) — hosting sito, Analytics, Speed Insights
• Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992 — data center UE regione “eu-west-1”, Irlanda) — database, autenticazione, storage email e storico quiz degli utenti registrati
• Resend Inc. (USA, region EU Irlanda — eu-west-1) — invio email transazionali (codice OTP a 6 cifre per l'accesso)

Elenco aggiornato dei responsabili disponibile su richiesta scritta a privacy@bsdirect.it.

7. Trasferimenti extra-UE

Alcuni trattamenti comportano il trasferimento di dati personali verso gli Stati Uniti d'America (via Vercel Inc. e Resend Inc.). Il trasferimento è coperto dalle seguenti garanzie:

• Clausole Contrattuali Standard UE 2021/914 (SCC) sottoscritte con i fornitori
• EU-US Data Privacy Framework (se il fornitore è certificato alla data del trasferimento — verificabile su dataprivacyframework.gov)

Per Supabase, i dati sono conservati in data center UE (Irlanda, regione eu-west-1). Non è previsto trasferimento extra-UE.

8. Conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, nel rispetto dei principi di minimizzazione e limitazione della conservazione previsti dal GDPR. In particolare:

• Lead ed email di contatto — conservati per 24 mesi decorrenti dall'ultimo contatto con l'interessato, salvo revoca anticipata del consenso o richiesta di cancellazione
• Storico quiz e dati dell'account — conservati finché l'account resta attivo; in caso di chiusura dell'account o di richiesta di cancellazione, i dati sono eliminati
• Hash IP e log tecnici — conservati per il tempo necessario alle finalità statistiche e di sicurezza, poi cancellati o resi anonimi

9. Diritti dell'interessato

Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto di:

• Accesso — ottenere conferma dell'esistenza dei propri dati e accederne
• Rettifica — richiedere la correzione di dati inesatti o incompleti
• Cancellazione — richiedere l'eliminazione dei propri dati ("diritto all'oblio")
• Portabilità — ricevere i propri dati in formato strutturato e leggibile
• Opposizione — opporsi al trattamento per motivi legittimi
• Revoca del consenso — revocare in qualsiasi momento il consenso prestato

Per esercitare i propri diritti, scrivere a privacy@bsdirect.it.

10. Reclamo all'Autorità di controllo

L'interessato ha il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali — www.garanteprivacy.it.

Ultimo aggiornamento: giugno 2026