Ultimo aggiornamento: 12 Febbraio 2026
Il Titolare del trattamento dei dati personali è MiraiShot, di proprietà di Mirko Vescio (P.IVA: IT13192950965), con sede in Piazza San Sepolcro 2, 20123 Milano (IT). Per qualsiasi domanda relativa alla privacy, puoi contattarci all'indirizzo: privacy@miraishot.com
Raccogliamo le seguenti categorie di dati personali: Registrazione e Autenticazione: • Nome, indirizzo email, credenziali di accesso (gestite tramite Supabase) • Dati profilo Google OAuth (se usi Google Sign-In) Dati di Utilizzo: • Immagini caricate, immagini e video generati, cronologia delle generazioni • Configurazioni workflow (connessioni tra nodi, impostazioni dei modificatori) • Dati progetto (workflow salvati, metadati degli asset) Dati Tecnici e di Sicurezza: • Indirizzo IP, tipo di browser, sistema operativo, User-Agent • Tentativi di login (email, esito, timestamp) per protezione brute-force • Contatori rate limiting per endpoint Impronta Digitale del Browser (solo Ghost Session): • Un hash SHA-256 calcolato lato client da: rendering canvas, renderer WebGL, fuso orario, lingua, piattaforma, risoluzione schermo, profondità colore, touch points, concorrenza hardware, memoria dispositivo • Solo l'hash viene inviato al nostro server; i dati grezzi non lasciano mai il tuo browser • Usato esclusivamente per limitare l'uso delle sessioni demo anonime Dati di Telemetria (modalità Standard e Confidential): • Hash generazione, snapshot workflow, prompt AI assemblato • Modello AI usato, livello qualità, aspect ratio, tempo di generazione • Hash immagini sorgente/output (SHA-256, non le immagini stesse) • Risultati supervisione AI: punteggio integrità geometrica, codici difetto Dati di Attività: • Log attività utente: eventi di generazione, operazioni di analisi, azioni sui progetti • Log audit amministrativo: azioni amministrative, utente target, timestamp Dati di Pagamento: • Gestiti direttamente da Stripe (non memorizziamo dati delle carte di credito) • Saldo crediti, storico transazioni, piano di abbonamento
I tuoi dati sono trattati per le seguenti finalità: • Fornitura del servizio: permetterti di utilizzare la piattaforma MiraiShot per generare immagini e video • Gestione account: autenticazione, recupero password, comunicazioni relative al servizio • Miglioramento AI: analisi delle generazioni per migliorare la qualità dell'output (solo modalità Standard e Confidential) • Telemetria: raccolta di metriche tecniche per identificare e risolvere problemi di qualità • Sicurezza: prevenzione di abusi, frodi, attacchi brute-force e accessi non autorizzati • Obblighi legali: adempimento di obblighi previsti dalla legge
Il trattamento dei tuoi dati si basa su: • Esecuzione del contratto: per fornirti il servizio richiesto (Art. 6.1.b GDPR) • Consenso: per comunicazioni di marketing opzionali (Art. 6.1.a GDPR) • Legittimo interesse: per sicurezza, prevenzione abusi e miglioramento del servizio (Art. 6.1.f GDPR) • Obbligo legale: per adempimenti fiscali e normativi (Art. 6.1.c GDPR)
I tuoi dati sono conservati per i seguenti periodi: Dati account: fino alla cancellazione dell'account Immagini e video generati (durata varia per piano): • Free Trial: 7 giorni • Lite / Designer: 1 mese • Studio: 3 mesi • Premier: 6 mesi • Corporate: 12 mesi Crediti: • Crediti da abbonamento e Boost: scadono 30 giorni dopo l'emissione (consumo FIFO — i crediti più vicini alla scadenza vengono usati per primi) • Crediti concessi dall'amministratore: non scadono Ghost Session (demo anonime): 48 ore (pulizia automatica) Immagini telemetria (storage temporaneo): 30 giorni Tentativi di login: cancellati dopo un login riuscito Log di sicurezza: 30 giorni Log audit amministrativo: conservati a tempo indeterminato (requisito di conformità) Dati di fatturazione: 10 anni (obbligo legale)
I tuoi dati possono essere condivisi con i seguenti responsabili del trattamento: • Supabase (hosting database e autenticazione) — Server in EU • Google Cloud / Google AI (generazione immagini e video) — Clausole contrattuali standard per trasferimenti extra-UE; le immagini inviate per l'elaborazione non vengono conservate da Google oltre la richiesta di generazione • Vercel (hosting applicazione) — Server in EU/US con clausole contrattuali standard • Stripe (pagamenti) — Certificato PCI-DSS • Cloudflare (Turnstile CAPTCHA) — Utilizzato per la prevenzione dei bot durante registrazione, login e sessioni demo anonime; elabora indirizzo IP e dati della challenge del browser • Resend (email transazionali) — Utilizzato solo per notifiche di sicurezza agli amministratori; non riceve dati degli utenti finali • Upstash (rate limiting Redis) — Memorizza contatori di rate limiting anonimizzati; nessun dato personale • Anthropic (Claude AI) — Utilizzato per analisi settimanale automatizzata della qualità su dati di telemetria anonimizzati; nessuna immagine utente o dato personale condiviso Non vendiamo né condividiamo i tuoi dati con terze parti per finalità di marketing.
Hai il diritto di: • Accesso: ottenere una copia dei tuoi dati personali • Rettifica: correggere dati inesatti o incompleti • Cancellazione: richiedere la cancellazione dei tuoi dati ("diritto all'oblio") • Limitazione: limitare il trattamento in determinati casi • Portabilità: ricevere i tuoi dati in formato strutturato • Opposizione: opporti al trattamento basato su legittimo interesse • Revoca consenso: revocare il consenso in qualsiasi momento Per esercitare questi diritti, contattaci a: privacy@miraishot.com
Adottiamo misure tecniche e organizzative per proteggere i tuoi dati: • Crittografia HTTPS per tutte le comunicazioni • Security headers: CSP, HSTS, X-Frame-Options, X-Content-Type-Options • Autenticazione sicura con hashing password (requisiti NIST 2025: min. 8 caratteri, punteggio di forza minimo) • Protezione brute-force: blocco account dopo 5 tentativi falliti (15 min), dopo 10 (1 ora); blocco IP dopo 20 tentativi da stesso IP (1 ora) • Protezione CSRF: pattern Double Submit Cookie • Validazione MIME: verifica dei magic bytes dei file caricati per prevenire spoofing • Rate limiting per endpoint (10-30 richieste/minuto per utente) • Row Level Security (RLS) su tutte le tabelle del database • Accesso ai dati limitato su base "need-to-know" • Monitoraggio continuo per rilevare anomalie
MiraiShot utilizza i seguenti meccanismi di archiviazione: Cookie: • Cookie di autenticazione Supabase (durata: 30 giorni) — essenziale per mantenere la sessione sessionStorage (cancellato alla chiusura del browser): • Hash impronta digitale del browser (solo per sessioni demo anonime) localStorage (persistente): • ID sessione ghost (per il reclamo dopo registrazione) • Preferenze interfaccia (stato sidebar, tema, layout) Non utilizziamo cookie di profilazione o di terze parti per pubblicità.
MiraiShot elabora le tue immagini utilizzando modelli di intelligenza artificiale. Puoi controllare come i tuoi dati di generazione vengono trattati attraverso le Modalità di Generazione: Modalità Standard (costo crediti 1x): I dati della generazione (configurazione workflow, prompt assemblato, hash immagini) possono essere raccolti come telemetria per il miglioramento del servizio. I risultati anonimizzati potrebbero apparire nel portfolio o nei materiali marketing di MiraiShot. Modalità Confidential (costo crediti 1.5x): I dati della generazione sono usati solo per miglioramento interno. Le immagini e i risultati non appariranno mai in materiali pubblici, gallerie o marketing. Modalità Stealth (costo crediti 2x): Non viene raccolta alcuna telemetria. La tua generazione è completamente privata e non verrà mai usata per l'addestramento di modelli AI o per qualsiasi altro scopo oltre alla consegna del risultato. Modelli AI utilizzati: • Generazione immagini: Gemini 3 Pro, Gemini Flash (Google) • Generazione video: VEO 3.1 (Google) • Analisi qualità: Claude (Anthropic) — analisi settimanale automatizzata solo su dati anonimizzati • Le immagini vengono inviate a Google AI per l'elaborazione e non vengono conservate da Google oltre la richiesta di generazione
MiraiShot offre una funzione di demo anonima ("Ghost Session") che permette agli utenti non registrati di provare il servizio: • Viene generata un'impronta digitale del browser (hash SHA-256) per limitare l'utilizzo • Limite: 30 generazioni ogni 24 ore per impronta digitale o indirizzo IP • Periodo di attesa di 12 ore dopo aver raggiunto il limite • Le sessioni scadono dopo 48 ore • I risultati includono un watermark prominente ("PREVIEW — REGISTER TO DOWNLOAD HD") • Dopo la registrazione, l'utente può reclamare la sessione per ottenere la versione HD Dati raccolti durante le Ghost Session: • Hash impronta digitale, indirizzo IP, User-Agent • Percorso immagine sorgente, prompt e impostazioni di generazione • Stato della sessione e timestamp
Puoi richiedere la cancellazione del tuo account in qualsiasi momento. Processo: • La cancellazione è effettiva dopo un periodo di 30 giorni (soft delete), durante il quale puoi annullarla • Alla cancellazione definitiva vengono eliminati: profilo, progetti, asset, cronologia generazioni, log attività, saldi crediti Dati conservati dopo la cancellazione: • Log audit amministrativo (requisito di conformità) • Dati di telemetria anonimizzati (già registrati e non riconducibili all'utente) Per richiedere la cancellazione: privacy@miraishot.com o tramite le impostazioni del tuo account.
Alcuni dei nostri responsabili del trattamento operano al di fuori dell'Unione Europea. Per questi trasferimenti: • Google Cloud: Clausole Contrattuali Standard (SCCs) approvate dalla Commissione Europea • Vercel: SCCs per server in US • Stripe: Certificazione PCI-DSS e meccanismi di trasferimento conformi al GDPR • Cloudflare: SCCs e decisioni di adeguatezza Tutti i trasferimenti sono effettuati in conformità con il Capo V del GDPR.
Potremmo aggiornare questa informativa periodicamente. In caso di modifiche sostanziali, ti informeremo via email o tramite avviso sulla piattaforma. Ti invitiamo a consultare regolarmente questa pagina per eventuali aggiornamenti.
Per domande sulla privacy o per esercitare i tuoi diritti: Email: privacy@miraishot.com Hai inoltre il diritto di presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) se ritieni che i tuoi diritti siano stati violati.
• 12 Febbraio 2026 (v2.0): Aggiornamento completo — aggiunti processori dati (Cloudflare, Resend, Upstash, Anthropic), categorie dati (fingerprint, ghost session, telemetria, supervisione AI, attività utente, tentativi login, audit), sezioni su elaborazione AI, ghost session, cancellazione dati, trasferimenti internazionali • 26 Dicembre 2024 (v1.0): Versione iniziale