In vigore dal: 2026-06-01 · Versione 2.1
Questa pagina è una traduzione di cortesia. In caso di conflitto, prevale la versione inglese.
La presente Informativa sulla Privacy spiega come Parhelion Software SRL ("Sydium", "noi") raccoglie, utilizza, condivide e protegge i tuoi dati personali quando utilizzi la piattaforma Sydium su sydium.com e i servizi correlati. Ci impegniamo a essere trasparenti in un linguaggio semplice su ciò che facciamo con i tuoi dati.
1. Chi è responsabile dei tuoi dati
Il titolare del trattamento dei dati personali trattati in connessione con il Servizio è:
Parhelion Software SRL
Sede legale: România, Galați, str. Vânători nr. 35
Registro delle imprese: J17/67/2013
Partita IVA: RO31105708
Contatto privacy: privacy@sydium.com
Responsabile della Protezione dei Dati: Non abbiamo nominato un DPO formale ai sensi dell'art. 37 GDPR perché il nostro trattamento non lo richiede. Per tutte le questioni relative alla protezione dei dati, contatta privacy@sydium.com.
Rappresentante UE: Non applicabile - Parhelion Software SRL è stabilita in Romania e pertanto si trova all'interno dell'UE.
2. Quali informazioni raccogliamo
Raccogliamo dati personali nelle categorie elencate di seguito. Quando fornisci dati direttamente, ti indichiamo cosa è obbligatorio e cosa è facoltativo nell'interfaccia pertinente.
- Informazioni sull'account. Indirizzo email, nome, hash della password (o token di social-login da Google), URL dell'immagine del profilo. Forniti da te al momento della registrazione. Generiamo inoltre automaticamente identificatori tecnici (ID utente, ID team, identificatori di sessione).
- Informazioni di fatturazione. Piano di abbonamento, intervallo di fatturazione, stato del pagamento, cronologia delle fatture. I numeri di carta e i dati bancari sono raccolti e detenuti dal nostro processore di pagamento (Stripe); noi riceviamo solo un identificatore tokenizzato e i metadati.
- Account social media collegati. Quando colleghi un account social, memorizziamo la credenziale che ci permette di agire per tuo conto (pubblicare, leggere analisi, leggere messaggi): per la maggior parte delle piattaforme è un token di accesso OAuth e, per Bluesky, una password specifica per l'app che generi tu. Non memorizziamo mai la password principale della tua piattaforma. I dati che leggiamo poi includono: contenuti dei post che hai pubblicato, metriche di engagement, aggregati di audience e (per le funzionalità inbox) messaggi diretti e commenti sui tuoi account.
- Contenuti che crei. Bozze, post pianificati, voci del calendario, file multimediali (immagini, video, audio), contenuti generati dall'IA, materiale di addestramento Brand Voice e qualsiasi testo che digiti nel Servizio.
- Dati Brand Voice. Documenti che carichi e post che leggiamo dagli account collegati per addestrare la tua Brand Voice. Estraiamo parametri di stile; non ripubblichiamo il materiale grezzo. Vedi il programma di conservazione di seguito.
- Dati di inbox ed engagement. Per le funzionalità inbox, riceviamo copie dei messaggi diretti e dei commenti sugli account collegati. Sono memorizzati per fornire l'interfaccia inbox e calcolare le funzionalità di engagement.
- Comunicazioni di supporto. Email, messaggi in chat e moduli inviati a noi, oltre alle nostre risposte.
- Dati di utilizzo e dispositivo. Pagine visualizzate, funzionalità utilizzate, metriche di prestazione, indirizzo IP (troncato ove possibile), tipo di browser, sistema operativo, identificatori di dispositivo. Raccolti automaticamente da sistemi di analisi e tracciamento degli errori.
- Cookie e archiviazione simile. Vedi la Sezione 8 di seguito per l'elenco completo.
3. Perché trattiamo i tuoi dati e su quale base giuridica
Ai sensi del GDPR, ogni attività di trattamento necessita di una base giuridica. Ecco la nostra, per finalità:
| Finalità | Base giuridica |
|---|---|
| Fornire il Servizio - erogare l'applicazione, archiviare e pianificare i tuoi contenuti, eseguire funzionalità IA, pubblicare sulle piattaforme collegate, fornire analisi | Contratto (Art. 6(1)(b)) - esecuzione dei nostri Termini di Servizio con te |
| Creazione dell'account, autenticazione, reimpostazione della password, sicurezza | Contratto (Art. 6(1)(b)) e interesse legittimo (Art. 6(1)(f)) per la sicurezza e la prevenzione delle frodi |
| Fatturazione, emissione di fatture, imposte | Contratto (Art. 6(1)(b)) e obbligo legale (Art. 6(1)(c)) - normativa contabile/fiscale |
| Email transazionali (verifica, reimpostazione password, notifiche di fatturazione, aggiornamenti importanti del servizio) | Contratto (Art. 6(1)(b)) e obbligo legale ove applicabile |
| Analisi del prodotto e registrazione delle sessioni (PostHog) | Interesse legittimo (Art. 6(1)(f)) per visitatori non UE/UK; consenso (Art. 6(1)(a)) per visitatori UE/UK tramite il banner cookie |
| Analisi del sito marketing (Google Analytics) | Consenso (Art. 6(1)(a)) per visitatori UE/UK; interesse legittimo con opt-out altrove |
| Newsletter o email di marketing del prodotto facoltativi | Consenso (Art. 6(1)(a)) - solo opt-in, revocabile in qualsiasi momento tramite link di disiscrizione |
| Tracciamento degli errori e monitoraggio delle prestazioni (Sentry) | Interesse legittimo (Art. 6(1)(f)) - mantenere il Servizio affidabile e sicuro |
| Supporto clienti | Contratto e interesse legittimo |
| Conformità alle richieste legali, difesa di pretese legali, applicazione dei nostri Termini | Obbligo legale (Art. 6(1)(c)) e interesse legittimo (Art. 6(1)(f)) |
4. Come utilizziamo le tue informazioni (sintesi)
- Per fornire e mantenere la piattaforma Sydium
- Per pianificare e pubblicare contenuti sui tuoi account social media collegati per tuo conto
- Per generare contenuti assistiti dall'IA (incluso nella tua Brand Voice)
- Per calcolare e mostrare analisi sulle tue prestazioni sui social media
- Per inviare messaggi di servizio importanti (sicurezza, fatturazione, account)
- Per migliorare le funzionalità e l'esperienza utente
- Per rilevare, prevenire e affrontare problemi di sicurezza e frode
- Per adempiere a obblighi legali
5. Sub-responsabili e condivisione dei dati
Non vendiamo i tuoi dati personali. Non li condividiamo per pubblicità comportamentale cross-context. Condividiamo i dati solo con le categorie di destinatari elencate di seguito, e solo come necessario per fornire il Servizio. Tutti i sub-responsabili sono vincolati da accordi scritti sul trattamento dei dati che soddisfano i requisiti dell'art. 28 GDPR.
Categorie di destinatari
- Piattaforme social media che colleghi. Inviamo e riceviamo dati attraverso le loro API ufficiali (OAuth 2.0) per pubblicare contenuti e leggere analisi/messaggi per tuo conto.
- Fornitori di IA. OpenAI (generazione di testo e trascrizione audio per i sottotitoli), Anthropic (generazione di testo) e fal.ai (generazione di immagini e video). Inviamo solo i prompt, i contenuti multimediali e il contesto necessari per la generazione; non condividiamo dati di account o di fatturazione. I fornitori attuali non utilizzano per impostazione predefinita gli input dei clienti business/API per addestrare i loro modelli.
- Fornitori di infrastruttura. Google Cloud / Firebase (database, archiviazione, autenticazione, hosting) e Cloudflare (CDN edge, Workers, archiviazione di oggetti, sicurezza).
- Processore di pagamento. Stripe gestisce la fatturazione degli abbonamenti e le imposte. Non vediamo mai i dettagli completi della tua carta o del tuo conto bancario.
- Fornitore di email transazionali. Brevo (UE) invia per nostro conto email di verifica, reimpostazione password, fatturazione e notifiche.
- Osservabilità. Sentry (errori), PostHog (analisi del prodotto, registrazione delle sessioni, istanza UE).
- Analisi del sito marketing. Google Analytics (GA4) per misurazione aggregata. Opera solo sul sito marketing pubblico, è soggetto a consenso per i visitatori UE/UK e non è attivo quando sei autenticato nell'app.
- Consulenti professionali, autorità e successori. I nostri avvocati, commercialisti e revisori in regime di riservatezza. Autorità governative o tribunali ove richiesto dalla legge. Un'entità successore in relazione a una fusione, acquisizione o vendita di sostanzialmente tutti i nostri attivi (con protezione continuativa ai sensi della presente Informativa).
Di seguito è riportato l'elenco completo attuale dei sub-responsabili. Aggiorneremo questo elenco prima di aggiungere un nuovo sub-responsabile con accesso ai tuoi dati personali. Puoi iscriverti agli aggiornamenti sui sub-responsabili scrivendo a privacy@sydium.com.
| Sub-responsabile | Finalità | Ubicazione | Meccanismo di trasferimento |
|---|---|---|---|
| Google Cloud Platform (Firebase) | Authentication, database (Firestore), file storage, push messaging, app hosting | United States | Standard Contractual Clauses |
| Cloudflare, Inc. | Edge CDN, Workers compute, R2 object storage, DNS, WAF / AI Crawl Control | Global edge / United States | Standard Contractual Clauses |
| OpenAI, L.L.C. | Text generation and audio transcription for captions (prompts, media, and outputs only; no account data) | United States | Standard Contractual Clauses + OpenAI DPA |
| Anthropic, PBC | Text generation (prompts and outputs only; no account data) | United States | Standard Contractual Clauses + Anthropic DPA |
| fal.ai (Features and Labels, Inc.) | AI image and video generation | United States | Standard Contractual Clauses |
| Brevo (Sendinblue SAS) | Transactional email (verification, password reset, notifications) | European Union (France) | EU-resident processor |
| Stripe Payments Europe, Ltd. | Subscription billing, invoicing, tax (Stripe Tax) | Ireland (EU) + United States | Standard Contractual Clauses |
| Sentry (Functional Software, Inc.) | Error tracking and performance monitoring | United States | Standard Contractual Clauses |
| PostHog Inc. | Product analytics, session recording (EU-hosted instance) | European Union (Germany) | EU-resident processor |
| Google Analytics (Google Ireland Ltd.) | Aggregate marketing-site analytics (consent-gated for EU/UK visitors) | Ireland (EU) + United States | Standard Contractual Clauses |
| Meta Platforms, Inc. | Publishing to Facebook and Instagram; reading audience analytics via Graph API | United States / Ireland (EU) | Standard Contractual Clauses + Meta DPA |
| Google LLC (YouTube) | Publishing to YouTube; reading analytics via YouTube Data API | United States | Standard Contractual Clauses |
| TikTok Information Technologies UK Ltd. | Publishing to TikTok; reading analytics via Content Posting API | Ireland (EU) + United States | Standard Contractual Clauses + TikTok DPA |
| LinkedIn Ireland Unlimited Company | Publishing to LinkedIn; reading analytics via Marketing Developer Platform | Ireland (EU) + United States | Standard Contractual Clauses |
| X Corp. (Twitter) | Publishing to X; reading analytics via X API | United States | Standard Contractual Clauses |
| Pinterest Europe Ltd. | Publishing to Pinterest; reading analytics via Pinterest API | Ireland (EU) | EU-resident processor |
| Bluesky PBC | Publishing to Bluesky via AT Protocol | United States | Standard Contractual Clauses |
| Mastodon gGmbH (and federated instances) | Publishing to Mastodon instances the user connects | Instance-dependent | Per-instance terms |
6. Trasferimenti internazionali di dati
Alcuni dei nostri sub-responsabili si trovano al di fuori dello Spazio Economico Europeo, principalmente negli Stati Uniti.
Per i trasferimenti di dati personali verso paesi extra-SEE che non sono stati ritenuti adeguati dalla Commissione europea, ci basiamo sulle Clausole Contrattuali Tipo adottate con la Decisione di Esecuzione (UE) 2021/914 della Commissione (le "CCT 2021"), integrate ove appropriato da ulteriori misure tecniche e organizzative (crittografia in transito e a riposo, controlli degli accessi, obblighi del responsabile).
Abbiamo condotto valutazioni d'impatto del trasferimento per i nostri principali sub-responsabili statunitensi in linea con le Raccomandazioni 01/2020 dell'EDPB (post-Schrems II). La decisione di adeguatezza del 2023 sul Data Privacy Framework UE-USA fornisce un'ulteriore salvaguardia ove il sub-responsabile vi aderisca tramite auto-certificazione.
Puoi richiedere una copia delle CCT o una sintesi della nostra valutazione d'impatto del trasferimento scrivendo a privacy@sydium.com.
7. Come proteggiamo i tuoi dati
- Crittografia in transito (TLS 1.2+) su tutte le connessioni da e verso il Servizio
- Crittografia a riposo (AES-256) per i dati archiviati in Google Cloud e Cloudflare R2
- Token OAuth rilasciati dalla piattaforma per le connessioni social (oppure, per Bluesky, una password specifica per l'app che generi tu) - non riceviamo né memorizziamo mai la password principale dei tuoi social media
- Cookie di sessione firmati e di breve durata (JWT, HS256, TTL scorrevole di 14 giorni) con registro di revoca delle sessioni
- Controlli di accesso che limitano l'accesso ai dati di produzione al personale che ne ha bisogno, con log di audit
- Monitoraggio di sicurezza di routine tramite Sentry e Cloudflare WAF
- Revisione periodica delle pratiche di sicurezza e dei sub-responsabili
Nessun sistema è perfettamente sicuro. Pur impegnandoci attivamente a proteggere i tuoi dati, non possiamo garantire una sicurezza assoluta. Sei responsabile di mantenere riservate le tue credenziali di accesso e di notificarci tempestivamente qualsiasi sospetto uso non autorizzato.
8. Cookie, tecnologie simili e consenso
Utilizziamo cookie e archiviazione locale del browser per: (a) mantenerti autenticato (essenziale); e (b) misurare come viene utilizzato il Servizio per poterlo migliorare (analitici, soggetti a consenso per UE/UK).
Se visiti il nostro sito marketing o l'app dall'UE, dal SEE o dal Regno Unito, i cookie e i tracker non essenziali sono bloccati finché non li accetti tramite il banner di consenso. Puoi modificare la tua decisione in qualsiasi momento:
- Sul sito marketing (sydium.com): usa il link "Preferenze cookie" nel footer.
- Nell'app: apri le impostazioni dell'account e clicca su "Gestisci preferenze" nella scheda Preferenze cookie.
Il ritiro del consenso non pregiudica la liceità del trattamento effettuato prima del ritiro.
Onoriamo i segnali Global Privacy Control (GPC) a livello di browser ove tecnicamente possibile, trattandoli come una richiesta di rifiuto dei cookie non essenziali.
| Cookie / archiviazione | Finalità | Categoria | Conservazione |
|---|---|---|---|
__sydium_session | Authenticated session (HS256 JWT) | Essenziali | 14 days (sliding) |
__sydium_oauth | OAuth state during Google sign-in flow | Essenziali | 10 minutes |
sydium_geo_eu | Records whether visitor is EU/EEA/UK for consent gating | Essenziali | 1 day |
sydium_cookie_consent (localStorage) | Stores your consent choices | Essenziali | Until you clear browser storage or revoke |
sydium_active_team_id (localStorage) | Remembers the team you were last viewing | Essenziali | Until you clear browser storage or switch teams |
ph_phc_*_posthog (localStorage + cookie) | PostHog product analytics and session recording | Analitici | 1 year |
_ga, _ga_* | Google Analytics (GA4) aggregate measurement | Analitici | 2 years |
Per alcuni tracker di analisi, sono disponibili ulteriori opt-out lato fornitore: l'opt-out di PostHog si applica automaticamente quando rifiuti gli analitici; Google Analytics può essere disabilitato tramite https://tools.google.com/dlpage/gaoptout/.
9. Per quanto tempo conserviamo i tuoi dati
Conserviamo i dati personali solo per il tempo necessario allo scopo per cui sono stati raccolti, più qualsiasi periodo richiesto dalla legge.
| Categoria di dati | Conservazione |
|---|---|
| Record dell'account (email, profilo) | Finché il tuo Account è attivo. Eliminati entro 30 giorni dalla richiesta di cancellazione dell'Account, ad eccezione dei backup (eliminati nella rotazione standard dei backup, max 90 giorni). |
| Contenuti (bozze, post pianificati, media, calendario) | Finché il tuo Account è attivo. Eliminati con l'Account, secondo le stesse tempistiche di cui sopra. |
| Materiale grezzo di addestramento Brand Voice | Finché esiste la Brand Voice. Eliminato entro 30 giorni quando elimini la Brand Voice o l'Account. I parametri di stile derivati sono eliminati con la Brand Voice stessa. |
| Messaggi inbox e commenti | Conservati finché l'account social collegato è collegato, fino a 12 mesi. I messaggi più vecchi vengono eliminati automaticamente. |
| Token di accesso delle piattaforme social collegate | Finché non scolleghi la piattaforma o elimini l'Account. Revocati alla disconnessione. |
| Registri di fatturazione e fatture | 10 anni dall'emissione, come richiesto dalla legge rumena 82/1991 (contabilità). |
| Email di supporto e chat | 3 anni dall'ultima interazione, salvo che una controversia richieda un periodo più lungo. |
| Record di sessione (sessioni attive, registro JTI) | Sessione attiva: 14 giorni scorrevoli. Sessioni revocate: 90 giorni per audit. |
| Log di accesso al server (con IP troncati) | 30 giorni. |
| Analisi del prodotto (PostHog) | Predefinito 1 anno (conservazione istanza PostHog UE). |
| Tracciamento errori (Sentry) | 90 giorni per i singoli eventi; metriche aggregate più a lungo. |
| Analisi marketing (GA4) | 14 mesi (impostazione predefinita di Google Analytics per la nostra proprietà). |
| Backup | Rotazione standard, massimo 90 giorni. Successivamente, le copie di backup vengono sovrascritte. |
10. I tuoi diritti
Se sei nell'UE, nel SEE o nel Regno Unito, il GDPR (e il GDPR del Regno Unito) ti conferisce i seguenti diritti:
- Accesso. Una copia dei dati personali che conserviamo su di te (Art. 15).
- Rettifica. Correzione di dati inesatti o incompleti (Art. 16).
- Cancellazione. Cancellazione dei tuoi dati, con i limiti previsti (Art. 17).
- Limitazione. Limitazione del trattamento in determinate situazioni (Art. 18).
- Portabilità. Ricezione dei tuoi dati in un formato strutturato e leggibile da macchina e diritto di trasmetterli a un altro titolare (Art. 20).
- Opposizione. Opposizione al trattamento basato su interesse legittimo, incluso il marketing diretto (Art. 21).
- Revoca del consenso. Ove il trattamento sia basato sul consenso, puoi revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento precedente (Art. 7(3)).
- Processo decisionale automatizzato. Diritto di non essere sottoposto a una decisione basata unicamente su trattamenti automatizzati che produca effetti giuridici o incida in modo significativo. Attualmente non prendiamo tali decisioni.
- Reclamo all'autorità di controllo. Diritto di proporre reclamo presso la tua autorità locale di protezione dei dati. In Romania, si tratta dell'Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), https://www.dataprotection.ro. In Italia, il Garante per la protezione dei dati personali.
Se sei residente in California, la CCPA (come modificata dalla CPRA) ti conferisce diritti aggiuntivi:
- Diritto di conoscere. Quali informazioni personali raccogliamo, le fonti, le finalità e le categorie di destinatari.
- Diritto di cancellazione. Cancellazione delle informazioni personali raccolte da te, con le eccezioni di legge.
- Diritto di rettifica. Correzione di informazioni personali inesatte.
- Diritto di opt-out dalla vendita o condivisione. Non vendiamo informazioni personali e non le condividiamo per pubblicità comportamentale cross-context, pertanto non è richiesto alcun opt-out - ma se invii un segnale GPC lo tratteremo come un opt-out confermativo.
- Diritto di limitare l'uso di informazioni personali sensibili. Non utilizziamo informazioni personali sensibili per finalità che attivino questo diritto.
- Diritto di non discriminazione. Non ti negheremo, addebiteremo prezzi diversi né forniremo un diverso livello di servizio per aver esercitato i tuoi diritti CCPA.
Per esercitare uno qualsiasi di questi diritti, scrivi a privacy@sydium.com. Risponderemo entro 30 giorni (prorogabili di ulteriori 60 giorni per richieste complesse, con preavviso). Non addebitiamo costi per richieste ragionevoli; possiamo rifiutare richieste manifestamente infondate o eccessive, con motivazione. Verificheremo la tua identità prima di soddisfare una richiesta (in genere confermando il controllo dell'indirizzo email del tuo Account).
Ove consentito dalla legge, puoi utilizzare un agente autorizzato per presentare una richiesta per tuo conto. Richiederemo prova dell'autorizzazione.
11. Minori
Il Servizio non è destinato e non raccogliamo consapevolmente dati personali da chiunque abbia meno di 16 anni (o l'età superiore per il consenso digitale nel tuo paese, ove applicabile). Se ritieni che un minore di 16 anni ci abbia fornito dati personali, contatta privacy@sydium.com e li elimineremo.
Attualmente non utilizziamo tecnologie di verifica dell'età; ci basiamo sull'autodichiarazione al momento della registrazione e potremmo adottare ulteriori misure se veniamo avvisati di un utente più giovane.
12. Notifica di violazione dei dati
Qualora veniamo a conoscenza di una violazione di dati personali che possa comportare un rischio elevato per i tuoi diritti e le tue libertà, ti notificheremo senza indebito ritardo e in ogni caso in linea con i nostri obblighi ai sensi dell'art. 34 GDPR. La notifica descriverà la natura della violazione, le categorie e il numero approssimativo di record interessati, le probabili conseguenze, le misure adottate o proposte e un punto di contatto per ulteriori informazioni.
13. Processo decisionale automatizzato e IA
Utilizziamo l'IA per assisterti nella creazione di contenuti (testi, immagini, idee). Queste funzionalità IA generano suggerimenti; sei tu a decidere se pubblicarli, modificarli o scartarli. Non utilizziamo l'IA per prendere decisioni su di te che producano effetti giuridici o che ti riguardino in modo analogamente significativo (ad esempio, non utilizziamo l'IA per il credit scoring, il blocco automatico antifrode senza revisione umana, o decisioni di moderazione dei contenuti che chiudano il tuo Account).
14. Modifiche alla presente informativa
Possiamo aggiornare la presente Informativa sulla Privacy di tanto in tanto. Per modifiche sostanziali (qualsiasi cosa che incida in modo significativo su come trattiamo i tuoi dati personali) ti invieremo un'email all'indirizzo del tuo Account almeno 30 giorni prima che la modifica entri in vigore e mostreremo un avviso in-app. La data di "Entrata in vigore" in cima alla pagina riflette sempre la versione più recente.
15. Contatti
Per domande, richieste o reclami sulla privacy, contatta il nostro team privacy a privacy@sydium.com. Per posta:
Parhelion Software SRL - Privacy
Indirizzo: România, Galați, str. Vânători nr. 35
16. Cronologia delle versioni
- v2.1 - 2026-06-01 - Rimosso RB2B (de-anonimizzazione dei visitatori B2B) come responsabile del trattamento e la categoria di cookie di marketing; chiarita la memorizzazione delle credenziali (password per app di Bluesky); divulgate la trascrizione audio (OpenAI Whisper) e la generazione di video (fal.ai); aggiornati l'elenco dei responsabili e le informazioni sui cookie.
- v2.0 - 2026-05-27 - Riscrittura sostanziale: dati del titolare, elenco completo dei sub-responsabili, tabella della base giuridica, programma di conservazione, tabella dei cookie, sezione CCPA, notifica di violazione, processo decisionale automatizzato.
- v1.0 - 2026-03-20 - Versione iniziale.
Utilizzando Sydium, riconosci di aver letto e compreso la presente Informativa sulla Privacy.