Informativa sulla privacy

Ultimo aggiornamento: 30 maggio 2026

La presente informativa descrive le modalità con cui Miraqo tratta i dati personali degli utenti che utilizzano il servizio disponibile su app.miraqo.io e il sito vetrina miraqo.io, in conformità con il Regolamento UE 2016/679 (GDPR) e — per quanto riguarda l'integrazione con le API Google — con la Google API Services User Data Policy, inclusi i requisiti del Limited Use.

1. Titolare del trattamento

Delete di Terni Davide
P.IVA: 02657410185
Email: privacy@miraqo.io
Sede legale: Viale della Libertà 14 - Pavia

2. Dati personali raccolti

2.1 Dati forniti dall'utente

  • Account: email, password (hash), nome e cognome, nome dell'organizzazione.
  • Fatturazione: ragione sociale, P.IVA/codice fiscale, indirizzo, metodo di pagamento (gestito da Stripe — Miraqo non memorizza i dati della carta).
  • Progetti SEO: domini, keyword, URL e configurazioni inserite dall'utente.

2.2 Dati raccolti tramite integrazioni Google (OAuth)

Se l'utente sceglie volontariamente di collegare il proprio account Google a un progetto Miraqo, accediamo in sola lettura ai seguenti dati tramite OAuth 2.0:

  • Google Search Console (scope webmasters.readonly): lista delle proprietà a cui l'utente ha accesso, query di ricerca, pagine indicizzate, click, impression, CTR e posizione media — limitati alle property selezionate dall'utente.
  • Google Analytics 4 (scope analytics.readonly): lista delle property GA4 accessibili, metriche aggregate giornaliere (sessioni, utenti, engagement, conversioni) suddivise per landing page — limitate alla property selezionata dall'utente.

I token OAuth (access e refresh token) sono cifrati at-rest con AES-128 (Fernet, libreria django-cryptography) prima di essere salvati nel database.

2.3 Dati raccolti automaticamente

  • Log tecnici di accesso (indirizzo IP, user agent, data e ora) per 30 giorni.
  • Cookie tecnici di sessione (necessari per l'autenticazione).
  • Telemetria di errore tramite Sentry, con send_default_pii=False.

2.4 Dati raccolti tramite il chatbot del sito

Il sito mette a disposizione un assistente virtuale (chatbot) per fornire informazioni su funzionalità, prezzi e prova gratuita, e per consentire a chi lo desidera di essere ricontattato. Quando l'utente lo utilizza trattiamo:

  • Contenuto dei messaggi scambiati con l'assistente.
  • Email, solo se l'utente sceglie volontariamente di lasciarla per essere ricontattato (richiesta di contatto commerciale).
  • Indirizzo IP in forma pseudonimizzata (hash) e pagina di provenienza, per finalità di sicurezza e prevenzione abusi.

I messaggi vengono elaborati da fornitori di servizi di intelligenza artificiale (indicati al §6). Invitiamo a non inserire dati personali o riservati nel testo della chat. Prima del primo messaggio è richiesto un consenso esplicito all'informativa privacy: registriamo data, ora e versione dell'informativa accettata.

3. Finalità del trattamento

  • Erogazione del servizio SaaS (creazione e gestione progetti SEO, ranking, audit, report).
  • Importazione e visualizzazione dei dati Google Search Console e Google Analytics 4 nella dashboard dell'utente, su sua esplicita autorizzazione.
  • Fatturazione, gestione abbonamenti e adempimenti fiscali.
  • Comunicazioni di servizio (notifiche su variazioni rilevanti, report periodici, errori di sincronizzazione).
  • Assistenza pre-vendita tramite chatbot e gestione delle richieste di ricontatto commerciale, su iniziativa dell'utente.
  • Sicurezza dell'infrastruttura e prevenzione abusi.

4. Base giuridica

  • Esecuzione di un contratto (art. 6.1.b GDPR) per la fornitura del servizio.
  • Consenso esplicito (art. 6.1.a GDPR) per il collegamento delle integrazioni Google e per le comunicazioni non strettamente necessarie.
  • Obbligo legale (art. 6.1.c GDPR) per la fatturazione e la conservazione documentale.
  • Legittimo interesse (art. 6.1.f GDPR) per la sicurezza e la prevenzione abusi.
  • Consenso esplicito (art. 6.1.a GDPR) per l'utilizzo del chatbot e per l'eventuale richiesta di ricontatto.

5. Uso limitato dei dati Google (Limited Use Disclosure)

Miraqo rispetta integralmente la Google API Services User Data Policy — Limited Use Disclosure.

In particolare, dichiariamo che i dati ricevuti da Google Search Console e Google Analytics 4 vengono usati esclusivamente per:

  • Mostrare all'utente le proprie metriche di ranking e di traffico organico nella dashboard Miraqo.
  • Correlare le metriche di traffico GA4 alle keyword tracciate dall'utente per consentirgli analisi più ricche.
  • Esportare i dati in report PDF o link condivisibili creati dall'utente.

Inoltre, NON usiamo i dati Google per:

  • Cessione, vendita o condivisione con terze parti per finalità di profilazione, marketing, advertising o data brokering.
  • Addestramento di modelli di intelligenza artificiale, sia interni sia di terzi.
  • Accesso da parte di personale umano, salvo (i) consenso esplicito dell'utente, (ii) necessità di assistenza tecnica con consenso, (iii) obblighi di legge o (iv) per scopi di sicurezza interna in forma aggregata e de-identificata.

6. Soggetti terzi che trattano i dati

I seguenti soggetti, in qualità di responsabili del trattamento ex art. 28 GDPR, possono trattare dati personali nell'ambito dei servizi forniti:

  • OVH SAS — hosting infrastrutturale (server in Francia/UE).
  • Stripe Payments Europe Ltd. — gestione pagamenti e dati di fatturazione.
  • Google Ireland Ltd. — limitatamente ai dati richiesti dall'utente via OAuth (GSC, GA4).
  • Anthropic PBC, OpenAI Inc., OpenRouter Inc., Perplexity AI Inc. — generazione contenuti AI su richiesta dell'utente (prompt anonimi, no PII).
  • Functional Software Inc. (Sentry) — telemetria errori applicativi, configurata senza PII.
  • Brevo SAS (o provider SMTP equivalente) — recapito email transazionali.

Tutti i fornitori extra-UE applicano garanzie adeguate (Standard Contractual Clauses e/o Data Privacy Framework UE-USA).

7. Periodo di conservazione

  • Dati account: per tutta la durata del rapporto, più 12 mesi di archivio per ripristino in caso di disdetta accidentale.
  • Dati di fatturazione: 10 anni come previsto dalla normativa fiscale italiana.
  • Token OAuth Google (GSC, GA4): finché l'integrazione resta attiva; eliminati entro 24 ore dalla disconnessione manuale o dalla cancellazione dell'account.
  • Dati GSC/GA4 sincronizzati: fino a 16 mesi (rolling window allineata ai limiti delle API Google), eliminati su revoca o cancellazione account.
  • Log di accesso: 30 giorni.
  • Errori Sentry: 30 giorni.
  • Trascritti delle chat del sito: massimo 30 giorni dalla conversazione, poi cancellati automaticamente.
  • Richieste di contatto (lead) dal chatbot: fino a 24 mesi dall'ultimo contatto, salvo precedente richiesta di cancellazione; la prova del consenso (data e versione dell'informativa) è conservata insieme al lead.

8. Misure di sicurezza

  • HTTPS obbligatorio su tutti gli endpoint (TLS 1.2+).
  • Token OAuth e altre credenziali cifrati at-rest (AES-128 Fernet).
  • Password utenti salvate solo come hash con algoritmo Argon2/PBKDF2.
  • Rate limiting sul login, autenticazione a due fattori opzionale.
  • Backup giornalieri del database con retention 7 giorni.
  • Accesso amministrativo limitato e tracciato.

9. Diritti dell'interessato

L'utente può in qualsiasi momento esercitare i diritti previsti dagli articoli 15-22 del GDPR:

  • Accesso ai propri dati.
  • Rettifica di dati inesatti.
  • Cancellazione (diritto all'oblio).
  • Limitazione e opposizione al trattamento.
  • Portabilità dei dati (esportazione CSV/JSON).
  • Revoca del consenso, in particolare per le integrazioni Google: disponibile dalla pagina "Integrazioni" del progetto con eliminazione immediata di token e dati associati, oppure direttamente da myaccount.google.com/permissions.
  • Reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

Per esercitare i diritti, scrivere a privacy@miraqo.io. Rispondiamo entro 30 giorni.

Il sito utilizza esclusivamente cookie tecnici di sessione, necessari al funzionamento dell'app e non profilanti. L'assistente virtuale (chatbot) non utilizza cookie né memorizza dati sul dispositivo dell'utente. Per dettagli, consulta la Cookie Policy.

11. Modifiche all'informativa

Eventuali modifiche significative saranno notificate via email agli utenti registrati e pubblicate su questa pagina con almeno 30 giorni di preavviso prima dell'entrata in vigore, salvo modifiche dovute a obblighi normativi.

12. Contatti

Per qualsiasi domanda sull'uso dei tuoi dati, contattaci a privacy@miraqo.io.