Informativa Privacy e Cookie Policy — AWA Studio
Titolare del trattamento: Fenicia Sistemi S.r.l. Prodotto: AWA Studio Ultimo aggiornamento: 26 Maggio 2026 Versione: 1.0
PARTE I — INFORMATIVA PRIVACY
1. Introduzione e ambito di applicazione
La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che visitano la piattaforma AWA Studio (di seguito “Piattaforma”) e utilizzano i servizi offerti da Fenicia Sistemi S.r.l., in conformità al Regolamento (UE) 2016/679 (“GDPR”) e al D.Lgs. 196/2003 (“Codice Privacy”) come modificato dal D.Lgs. 101/2018.
L’Informativa è resa ai sensi dell’art. 13 del GDPR a tutti coloro che interagiscono con la Piattaforma AWA Studio, inclusi utenti registrati, clienti e visitatori del sito.
2. Titolare del trattamento
| Campo | Dettaglio |
|---|---|
| Titolare | Fenicia Sistemi S.r.l. |
| Sede legale | Viale Tunisia 42, 20124 Milano (MI) |
| P.IVA | 13220550159 |
| Email privacy | privacy@fenicia.it |
| Prodotto | AWA Studio |
3. Categorie di dati personali trattati
3.1 Dati forniti volontariamente dall’utente
Quando l’utente si registra e utilizza la Piattaforma AWA Studio vengono raccolti:
- Dati di registrazione account: indirizzo email, password (memorizzata esclusivamente in forma di hash crittografico bcrypt — il Titolare non ha accesso alla password in chiaro).
- Dati di fatturazione (al momento dell’acquisto di un piano a pagamento): ragione sociale, partita IVA, codice fiscale, indirizzo della sede legale, codice univoco SDI o PEC per la fatturazione elettronica.
- Contenuti generati dall’utente sulla Piattaforma: brand DNA, brief di campagna, prodotti, post generati, immagini caricate o generate dall’AI, configurazioni di workspace.
- Credenziali di integrazione verso piattaforme terze (opzionali, attivabili dall’utente): token OAuth per LinkedIn, Meta (Facebook/Instagram), credenziali Application Password per WordPress. Tali credenziali sono cifrate at-rest tramite algoritmo simmetrico (Fernet/AES-128-CBC) con chiave separata dal database.
3.2 Dati raccolti automaticamente
Durante l’utilizzo della Piattaforma vengono raccolti automaticamente, per finalità esclusivamente tecniche di sicurezza, manutenzione e rilevamento di abusi:
- Indirizzo IP del client: registrato nei log di accesso del web server (nginx) per finalità di sicurezza, applicazione delle limitazioni di rate (anti-abuso) e diagnostica. Non utilizzato per profilazione.
- Data, ora e endpoint API invocati: registrati nei log applicativi (journalctl) per finalità di troubleshooting e audit di sicurezza.
- Identificativo di richiesta (request-id): UUID generato per ogni richiesta HTTP, propagato nei log per correlare eventi.
La Piattaforma NON raccoglie: user agent del browser come dato applicativo persistente, fonte di traffico (referer), interazioni granulari come clic / movimenti del mouse / tempi di permanenza / mappe di scroll, fingerprint del dispositivo.
3.3 Tecnologie di memorizzazione locale (no cookie)
La Piattaforma AWA Studio non utilizza cookie HTTP né cookie di terze parti. Per le finalità tecniche essenziali al funzionamento del servizio utilizza esclusivamente lo storage locale del browser (localStorage):
| Chiave | Finalità | Durata |
|---|---|---|
awa_session_v1 | Mantenere la sessione di accesso (token JWT firmato) | Fino a logout o scadenza token |
awa_admin_session_v1 | Token di backup per la funzione di impersonazione lato superadmin | Fino a logout |
awa_workspace_id | Memorizzare il workspace selezionato dall’utente | Persistente fino a rimozione manuale |
awa_meta_state, awa_linkedin_state | Token anti-CSRF durante i flussi OAuth verso Meta e LinkedIn | Eliminato automaticamente al completamento del flow (entro pochi secondi) |
Tali elementi sono assimilabili ai cookie tecnici ai sensi dell’art. 122 del Codice Privacy e delle Linee guida del Garante Privacy del 10 giugno 2021, e pertanto non richiedono consenso preventivo dell’utente.
La Piattaforma NON utilizza:
- cookie di profilazione o pubblicitari;
- pixel di tracciamento (Meta Pixel, Google Ads, LinkedIn Insight Tag, TikTok Pixel, ecc.);
- strumenti di analytics di terze parti (Google Analytics 4, Hotjar, Mixpanel, Plausible, Segment, ecc.);
- Google Tag Manager o altri tag manager;
- script di fingerprinting o tecniche di tracciamento cross-site.
Non è pertanto necessario alcun banner di consenso cookie.
3.4 Dati di utilizzo della Piattaforma
Nell’ambito dell’utilizzo di AWA Studio vengono trattati dati operativi necessari al corretto funzionamento del servizio:
- log di sessione (login, logout, errori applicativi);
- registri di utilizzo (
usage_records): chiamate API ai modelli AI eseguite per conto dell’utente, numero di token consumati, credito residuo del piano; - audit log delle azioni amministrative (es. cambi di password, attivazione 2FA, modifiche a workspace).
4. Finalità e basi giuridiche del trattamento
| Finalità | Descrizione | Base giuridica |
|---|---|---|
| Erogazione del servizio | Gestione account utente, accesso alla Piattaforma, generazione di contenuti AI, gestione workspace, pubblicazione contenuti verso piattaforme social tramite OAuth dell’utente | Art. 6(1)(b) GDPR — esecuzione di un contratto |
| Funzionamento tecnico | Mantenimento della sessione, memorizzazione di preferenze tecniche (workspace attivo), prevenzione CSRF nei flussi OAuth | Art. 6(1)(f) GDPR — legittimo interesse del Titolare a fornire un servizio funzionante e sicuro |
| Sicurezza e prevenzione abusi | Log di accesso, rate limiting, autenticazione a due fattori (TOTP), cifratura dei token di integrazione a riposo | Art. 6(1)(f) GDPR — legittimo interesse alla sicurezza del servizio |
| Pagamenti | Elaborazione dei pagamenti per abbonamenti AWA Studio tramite il fornitore Stripe | Art. 6(1)(b) GDPR — esecuzione contrattuale |
| Fatturazione e adempimenti fiscali | Emissione di fatture elettroniche, conservazione dei documenti contabili | Art. 6(1)(c) GDPR — obbligo legale |
| Supporto tecnico | Gestione di richieste di assistenza, diagnosi e risoluzione di errori segnalati dall’utente | Art. 6(1)(b) GDPR — esecuzione contrattuale |
| Comunicazioni di servizio | Email transazionali relative all’account: conferma registrazione, verifica email, recupero password, notifiche di pubblicazione, avvisi di scadenza piano | Art. 6(1)(b) GDPR — esecuzione contrattuale |
| Adempimenti legali | Risposte ad autorità giudiziarie o amministrative, conservazione documenti, tutela dei propri diritti in sede giudiziale | Art. 6(1)(c) GDPR — obbligo legale |
Note importanti:
- AWA Studio non effettua attività di marketing diretto, profilazione o remarketing sui propri utenti tramite cookie, pixel o strumenti di analytics. Qualora in futuro venissero introdotte tali attività, la presente informativa sarà aggiornata e all’utente sarà richiesto consenso esplicito.
- Il contenuto generato dall’utente sulla Piattaforma (brand DNA, post, immagini) non viene utilizzato dal Titolare per addestrare modelli AI proprietari né condiviso con i fornitori di modelli AI di terze parti per finalità di addestramento. I dati vengono inviati ai fornitori solo per la generazione richiesta dall’utente, secondo le politiche di non-training dei rispettivi fornitori (es. OpenAI, Anthropic, Google).
5. Conferimento dei dati
I dati richiesti come obbligatori nei form di registrazione e fatturazione sono necessari per l’attivazione e l’utilizzo di AWA Studio. Il loro mancato conferimento rende impossibile l’erogazione del servizio.
Le integrazioni verso piattaforme terze (LinkedIn, Meta, WordPress) sono opzionali e attivabili autonomamente dall’utente: il mancato collegamento non impedisce l’uso delle funzionalità di generazione contenuti, ma limita la pubblicazione automatica sui canali.
6. Modalità del trattamento e misure di sicurezza
Il trattamento avviene con strumenti elettronici, adottando misure tecniche e organizzative adeguate:
- Cifratura in transito: tutte le comunicazioni client-server avvengono su HTTPS/TLS 1.2+ con certificato Let’s Encrypt (auto-rinnovato).
- Cifratura a riposo dei token sensibili: i token OAuth verso piattaforme terze (Meta, in roadmap LinkedIn e WordPress) sono cifrati nel database tramite algoritmo simmetrico Fernet con chiave separata, conservata in ambiente protetto al di fuori del database.
- Hash delle password: le password degli utenti sono memorizzate esclusivamente come hash bcrypt (cost factor configurabile, minimo 12). Il Titolare non ha accesso alle password in chiaro.
- Autenticazione a due fattori (2FA): l’utente può attivare autonomamente l’autenticazione TOTP (RFC 6238) compatibile con Google Authenticator, Authy, 1Password e simili. Disponibile in
Impostazioni → Sicurezza. - Token di sessione JWT firmati con chiave segreta, validità limitata, rotazione del refresh token.
- Rate limiting applicativo per prevenire abusi (120 richieste/minuto per IP di default).
- Server hardening: SSH chiave-only su porta non standard, fail2ban attivo, firewall UFW, accesso amministrativo limitato a personale autorizzato.
- Isolamento multi-tenancy: ogni richiesta dell’utente è filtrata per
workspace_id/organization_iddi appartenenza tramite middleware applicativo, in modo da impedire l’accesso ai dati di altri tenant. - Backup: backup giornalieri del database con verifica di integrità.
- Minimizzazione: vengono raccolti esclusivamente i dati necessari alle finalità dichiarate, secondo il principio di minimizzazione (art. 5(1)(c) GDPR).
7. Periodo di conservazione dei dati
| Categoria di dato | Periodo di conservazione |
|---|---|
| Dati account utente (email, hash password, profilo) | Durata del contratto + 24 mesi dalla cessazione, salvo opposizione anticipata |
| Contenuti generati dall’utente (campagne, post, brand DNA) | Durata del contratto + 90 giorni dalla cessazione (per permettere recupero in caso di riattivazione), poi cancellazione |
| Token di integrazione OAuth (Meta, LinkedIn, WordPress) | Fino alla disconnessione manuale dall’utente o revoca lato piattaforma terza |
| Log tecnici (accesso, applicativi, sicurezza) | 14 giorni per i log di accesso nginx; 90 giorni per i log applicativi journalctl |
| Audit log azioni amministrative | 24 mesi |
| Dati di fatturazione e pagamento (Stripe + fatture elettroniche) | 10 anni (obbligo fiscale ex art. 2220 c.c.) |
localStorage lato utente | Persistente sul dispositivo dell’utente fino a logout, cancellazione browser o rimozione manuale |
| Dati per adempimenti legali | Secondo i termini di legge applicabili |
L’utente può richiedere la cancellazione anticipata dei propri dati (vedi sezione 10), salvo i casi in cui la conservazione sia obbligatoria per legge (es. fatturazione).
8. Destinatari e responsabili del trattamento
I dati personali possono essere comunicati ai seguenti fornitori, designati come responsabili del trattamento ai sensi dell’art. 28 GDPR:
| Fornitore | Servizio | Sede | Categoria dati trasferiti |
|---|---|---|---|
| OVH SAS | Hosting della Piattaforma (VPS) | Datacenter Milano, Italia (UE) | Tutti i dati persistiti dal servizio |
| Stripe Payments Europe Ltd | Elaborazione pagamenti per abbonamenti AWA Studio | Irlanda (UE) + USA per sub-processor | Dati di fatturazione, dettagli pagamento (la Piattaforma non memorizza dati carta — Stripe Elements li gestisce direttamente) |
| OpenAI Ireland Ltd | Modelli AI per generazione testo e immagini (gpt-4o-mini, gpt-image-2, Whisper) | Irlanda (UE) + USA | Prompt inviati dall’utente per la generazione, nessun training su tali dati per default (zero data retention disponibile) |
| Anthropic PBC | Modelli AI per fallback testuale (Claude Haiku) | USA | Prompt inviati come fallback, nessun training |
| Google Ireland Ltd | Modelli AI Gemini (configurato come fallback, attualmente non operativo in produzione per geo-block ASN) | Irlanda (UE) + USA | Prompt inviati, nessun training per API enterprise |
| Apify Technologies s.r.o. | Scraping di dati pubblici per il modulo Radar (Meta Ad Library, LinkedIn posts pubblici) | Repubblica Ceca (UE) | Identificativi pubblici dei competitor inseriti dall’utente |
| Serper.dev | API di ricerca Google SERP per il modulo SEO Context e Competitive | USA | Keyword inserite dall’utente per analisi SEO |
| Meta Platforms Ireland Ltd | Pubblicazione di contenuti su Pagine Facebook e Instagram Business dell’utente (solo se l’utente attiva l’integrazione) | Irlanda (UE) + USA | Contenuti pubblicati dall’utente verso la propria Pagina, token OAuth |
| LinkedIn Ireland UC | Pubblicazione di contenuti su LinkedIn dell’utente (solo se l’utente attiva l’integrazione) | Irlanda (UE) + USA | Contenuti pubblicati dall’utente, token OAuth |
| SecureMail.pro | Invio email transazionali (verifica email, recupero password, notifiche) | Italia (UE) | Indirizzo email del destinatario, contenuto della comunicazione |
I dati non vengono ceduti, venduti o comunicati a soggetti diversi da quelli elencati. I dati possono inoltre essere comunicati alle autorità competenti su loro espressa richiesta, nei limiti previsti dalla legge.
9. Trasferimento dati verso Paesi terzi
Alcuni dei fornitori sopra indicati (OpenAI, Anthropic, Stripe, Meta, LinkedIn) hanno la sede o sub-responsabili negli Stati Uniti.
I trasferimenti avvengono sulla base di:
- EU-U.S. Data Privacy Framework (Decisione di adeguatezza della Commissione Europea del 10 luglio 2023) per i fornitori certificati;
- Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione UE 2021/914) per i fornitori non certificati DPF.
L’utente può richiedere copia delle garanzie applicate scrivendo a privacy@fenicia.it.
10. Diritti dell’interessato
Ai sensi degli artt. 15-22 del GDPR, l’utente ha diritto di:
- Accesso ai propri dati personali (art. 15);
- Rettifica dei dati inesatti o incompleti (art. 16);
- Cancellazione (“diritto all’oblio”, art. 17), salvo obblighi di legge contrari;
- Limitazione del trattamento (art. 18);
- Portabilità dei dati in formato strutturato e leggibile da macchina (art. 20);
- Opposizione al trattamento basato su legittimo interesse (art. 21);
- Revoca del consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca (art. 7(3)).
Per esercitare questi diritti, scrivere a privacy@fenicia.it con oggetto “Richiesta esercizio diritti privacy – AWA Studio”. Il Titolare risponderà entro 30 giorni dalla ricezione, estensibili a 90 giorni nei casi più complessi (art. 12(3) GDPR).
L’utente registrato può inoltre, in autonomia direttamente dalla Piattaforma:
- modificare i propri dati di profilo e di fatturazione da
Impostazioni → Account; - esportare i propri dati in formato JSON da
Impostazioni → Privacy → Esporta i miei dati; - richiedere la cancellazione dell’account da
Impostazioni → Privacy → Cancella account; - disconnettere le integrazioni OAuth da
Connessioni.
Diritto di reclamo: l’utente ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (sito web: gpdp.it, email: garante@gpdp.it) qualora ritenga che il trattamento dei propri dati violi il GDPR.
11. Processi decisionali automatizzati e profilazione
Il Titolare non effettua decisioni automatizzate che producano effetti giuridici sull’utente o lo riguardino in modo analogo ai sensi dell’art. 22 GDPR.
La Piattaforma utilizza modelli di intelligenza artificiale (LLM, modelli di generazione immagini) come strumento di assistenza alla creazione di contenuti, ma le decisioni di pubblicazione, modifica e diffusione dei contenuti restano sempre dell’utente.
La Piattaforma non effettua attività di profilazione ai sensi dell’art. 4(4) GDPR.
12. Minori
AWA Studio è destinato a un pubblico professionale (imprese, professionisti, marketer). I servizi non sono rivolti a minori di 16 anni e il Titolare non raccoglie consapevolmente dati personali di minori. Qualora un genitore o tutore venisse a conoscenza della raccolta di dati di un minore di 16 anni, può contattare privacy@fenicia.it per ottenere la cancellazione immediata.
PARTE II — DICHIARAZIONE COOKIE
13. Assenza di cookie HTTP
Come specificato al punto 3.3 della presente Informativa, AWA Studio non utilizza cookie HTTP di alcun tipo (né di prima né di terze parti), né tecnologie equivalenti di tracciamento quali pixel, tag manager o script di analytics.
L’unica forma di memorizzazione lato client utilizzata è il localStorage del browser dell’utente, per finalità esclusivamente tecniche elencate al punto 3.3.
Tali tecnologie:
- non identificano l’utente al di fuori della Piattaforma AWA Studio;
- non vengono condivise con terze parti;
- non costituiscono profilazione;
- sono assimilabili ai “cookie tecnici” ai sensi dell’art. 122 del Codice Privacy.
Conseguenze pratiche:
- Non viene mostrato alcun banner di consenso cookie, in quanto non sono presenti cookie o tecnologie che lo richiedano.
- L’utente può comunque cancellare i dati di
localStoragein qualsiasi momento attraverso le impostazioni del proprio browser. La cancellazione comporterà la disconnessione dalla Piattaforma (sarà necessario effettuare nuovamente il login).
14. Impatto della disabilitazione dello storage locale
Se l’utente disabilita completamente lo storage locale nel browser, alcune funzionalità essenziali della Piattaforma non saranno disponibili:
- impossibilità di mantenere la sessione di accesso (richiesto login a ogni reload);
- impossibilità di completare i flussi di autenticazione OAuth verso LinkedIn e Meta (mancanza di protezione CSRF).
Si consiglia pertanto di mantenere abilitato lo storage locale per il dominio awastudio.it e relativi sottodomini.
PARTE III — DISPOSIZIONI FINALI
15. Legge applicabile e foro competente
La presente Informativa è regolata dalla legge italiana e dal Regolamento (UE) 2016/679. Per qualsiasi controversia relativa al trattamento dei dati personali nell’ambito dell’utilizzo di AWA Studio, il foro competente è il Foro di Milano, salvo diverso foro inderogabile a tutela del consumatore.
16. Modifiche all’Informativa
Fenicia Sistemi S.r.l. si riserva di modificare la presente Informativa per adeguarla a evoluzioni normative, organizzative o tecnologiche.
In caso di modifiche sostanziali (es. introduzione di nuove finalità di trattamento, nuovi responsabili, nuove categorie di dati), verrà pubblicato un avviso prominente sulla Piattaforma AWA Studio e, ove tecnicamente possibile, una comunicazione via email agli utenti registrati prima dell’entrata in vigore delle modifiche.
L’utente è invitato a consultare periodicamente la presente Informativa per essere sempre aggiornato sulle modalità di trattamento dei propri dati.
17. Contatti
| Email privacy | privacy@fenicia.it |
| Titolare | Fenicia Sistemi S.r.l. |
| Sede legale | Viale Tunisia 42, 20124 Milano (MI) |
| P.IVA | 13220550159 |
| Prodotto | AWA Studio — durello.awastudio.it |
18. Storico modifiche
| Data | Versione | Modifiche |
|---|---|---|
| 26/05/2026 | 1.0 | Prima pubblicazione — Informativa Privacy AWA Studio (Fenicia Sistemi S.r.l.) |