Informativa sulla privacy

Questa informativa sulla privacy ti informa ai sensi dell'art. 13 GDPR su natura, ambito e finalità del trattamento dei dati personali nell'ambito della nostra offerta online e dei siti web e delle funzioni a essa collegati.

1. Titolare del trattamento

Daniel Ovadia
CastLoop
Eugen-Richter-Str. 159
76187 Karlsruhe, Germania
E-mail: info@castloop.de

2. Definizioni

Questa informativa sulla privacy utilizza la terminologia del Regolamento generale sulla protezione dei dati (GDPR). I „dati personali" sono tutte le informazioni riferite a una persona fisica identificata o identificabile.

3. Finalità e basi giuridiche del trattamento

Trattiamo i dati personali per le seguenti finalità:

• fornitura dell'offerta online e delle sue funzioni (art. 6 comma 1 lett. b GDPR)
• adempimento di obblighi contrattuali (art. 6 comma 1 lett. b GDPR)
• adempimento di obblighi di legge, in particolare obblighi di conservazione in materia tributaria e commerciale (art. 6 comma 1 lett. c GDPR)
• tutela di interessi legittimi — in particolare sicurezza, difesa da abusi, analisi e miglioramento della nostra offerta (art. 6 comma 1 lett. f GDPR)
• consensi, ove prestati (art. 6 comma 1 lett. a GDPR)

4. Server log file & hosting

Quando accedi al nostro sito web, vengono automaticamente memorizzati dati di accesso in server log file (indirizzo IP, data e ora, pagina richiesta, user agent, referrer). Questi dati servono alla sicurezza tecnica del funzionamento e vengono cancellati o anonimizzati entro al massimo 14 giorni.

Hosting: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Germania. Il trattamento dei dati avviene esclusivamente su server nell'Unione Europea (Germania). IONOS fornisce anche il relay SMTP per l'invio di e-mail transazionali nonché i backup snapshot delle VM dell'ambiente di produzione. Con il fornitore sussiste un contratto di trattamento dati ai sensi dell'art. 28 GDPR.

5. Registrazione & account cliente

Per utilizzare CastLoop puoi creare un account. I dati obbligatori sono l'indirizzo e-mail e la password; facoltativi sono il nome dell'azienda/del canale, nome e cognome. La password non viene mai memorizzata in chiaro, bensì come hash con il moderno procedimento Argon2id (parametri OWASP 2024).

Base giuridica: art. 6 comma 1 lett. b GDPR (esecuzione del contratto). I dati vengono cancellati non appena non sono più necessari per le finalità della loro raccolta e non vi ostano obblighi di legge di conservazione.

6. Contenuti trattati

CastLoop tratta i contenuti che fornisci attivamente — in particolare URL di video YouTube o di episodi di podcast, nonché le trascrizioni, i file di clip, i titoli e le proposte di sottotitoli da essi generati. Questi contenuti vengono utilizzati esclusivamente per l'erogazione del servizio ordinato e cancellati allo scadere dei termini di conservazione contrattualmente concordati (di norma 7 giorni per i download grezzi, fino a 90 giorni per i clip generati nell'ambito della funzione di riciclo). I file di clip vengono memorizzati esclusivamente su server UE di IONOS SE; un trasferimento verso fornitori di cloud storage al di fuori dell'UE non ha luogo.

7. Social login / SSO

Per semplificare l'accesso offriamo un single sign-on (SSO) tramite diversi identity provider. Se utilizzi questa opzione, vieni reindirizzato al rispettivo fornitore; dopo un'autenticazione riuscita riceviamo un ID token firmato (JWT), dal quale leggiamo esclusivamente un identificativo utente stabile (sub) e il tuo indirizzo e-mail. Non riceviamo alcuna password né un accesso illimitato al tuo account presso tale fornitore.

7.1 Google Ireland Ltd. — Google Sign-In

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda. Autenticazione tramite account Google („Sign in with Google"). Vengono trattati sub (ID utente Google stabile), indirizzo e-mail, stato di conferma dell'e-mail, facoltativamente nome e URL dell'immagine del profilo. Dettagli: policies.google.com/privacy.

7.2 Microsoft Ireland Operations Limited — Sign in with Microsoft

Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irlanda. Autenticazione tramite account Microsoft (personale o Work/School). Vengono trattati sub (ID utente Microsoft stabile, non oid), indirizzo e-mail e facoltativamente nome visualizzato. Dettagli: privacy.microsoft.com.

7.3 Apple Distribution International Ltd. — Sign in with Apple

Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irlanda. Autenticazione tramite Apple-ID. Vengono trattati sub (ID utente Apple stabile) e indirizzo e-mail.

Nota sugli indirizzi Private Relay: Apple offre l'opzione „Nascondi la mia e-mail". In tal caso riceviamo esclusivamente un indirizzo di inoltro anonimizzato del tipo <token-casuale>@privaterelay.appleid.com. In questo caso non possiamo visualizzare il tuo vero indirizzo e-mail; Apple inoltra le e-mail in modo trasparente all'indirizzo da te indicato. Dettagli: apple.com/legal/privacy.

Base giuridica per l'SSO: art. 6 comma 1 lett. b GDPR (esecuzione del contratto / misure precontrattuali).

8. Pubblicazione multipiattaforma (token OAuth & pubblicazioni)

La prestazione principale di CastLoop è la pubblicazione automatizzata dei clip generati sulle piattaforme social da te collegate. A tal fine ci metti a disposizione i token di accesso OAuth della rispettiva piattaforma. Le tue password delle piattaforme non vengono in nessun momento da noi visualizzate o memorizzate.

Cifratura dei token: i token di accesso e di refresh OAuth vengono memorizzati nel nostro database esclusivamente cifrati con AES-256-GCM („envelope encryption"), vincolati a un contesto di Additional-Authenticated-Data specifico per riga (Tenant-ID, Social-Account-ID, piattaforma). Un leak del database senza accesso al materiale delle chiavi, conservato separatamente, resta quindi inutile.

8.1 Google Ireland Ltd. — YouTube / YouTube Shorts

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda. CastLoop utilizza la YouTube Data API v3 esclusivamente sul canale YouTube da te collegato tramite i seguenti scope OAuth:

• https://www.googleapis.com/auth/youtube.readonly — lettura dei metadati del tuo canale e dei tuoi video (ID del canale, titolo, thumbnail, elenco dei video con titolo, descrizione, durata, data di pubblicazione). Viene utilizzato per consentirti, nella dashboard, di scegliere da quali video long-form CastLoop deve estrarre short clip. Vengono richiamati esclusivamente gli endpoint channels.list e videos.list.
• https://www.googleapis.com/auth/youtube.upload — caricamento degli short clip da te approvati (≤ 60 secondi, formato verticale) come YouTube Shorts sul tuo canale. Viene richiamato esclusivamente l' endpoint videos.insert. Non ha luogo alcun caricamento automatico senza la tua previa approvazione e programmazione.

Al momento del caricamento vengono trasmessi il file di clip (MP4), il titolo da te assegnato, la descrizione, i tag e il momento di pubblicazione. I video originali long-form non lasciano in nessun momento i nostri server.

Limited Use — assicurazione di utilizzo ai sensi della Google API Services User Data Policy (inclusi i Limited Use Requirements):

• Utilizziamo i dati ricevuti tramite la YouTube API esclusivamente per fornirti la funzione mostrata nella dashboard (selezione dei clip, upload di short).
• Non vendiamo a terzi i dati ricevuti tramite la YouTube API.
• Non utilizziamo i dati ricevuti tramite la YouTube API per la visualizzazione di pubblicità o per la personalizzazione della pubblicità.
• Non addestriamo alcun modello di IA/ML con i contenuti ricevuti tramite la YouTube API.
• L'accesso umano (collaboratori / incaricati) ai dati avviene esclusivamente (a) con il tuo consenso espresso, (b) per finalità di sicurezza (ad es. indagine su un incidente di abuso o di sicurezza), (c) per l'adempimento di obblighi di legge o (d) qualora i dati siano anonimizzati/aggregati per processi interni.

Puoi deautorizzare in qualsiasi momento il canale YouTube tramite Dashboard → Canali → Disconnetti oppure revocare la connessione direttamente nel account Google alla voce „App di terze parti con accesso all'account". Dopo la disconnessione, i relativi token OAuth vengono immediatamente cancellati; gli YouTube Shorts già caricati restano sul tuo canale e possono essere gestiti da te come di consueto.

Informazioni generali sulla privacy di Google: policies.google.com/privacy.

8.2 Meta Platforms Ireland Ltd. — Instagram

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irlanda. Pubblicazione di Reels / post nel feed tramite Instagram Graph API. Dettagli: facebook.com/privacy/policy.

8.3 TikTok Technology Ltd. — TikTok

TikTok Technology Limited (gruppo ByteDance), 10 Earlsfort Terrace, Dublin 2, Irlanda. Pubblicazione tramite TikTok Content Posting API. Dettagli: tiktok.com/legal/privacy-policy.

8.4 LinkedIn Ireland Unlimited Company — LinkedIn

LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irlanda. Pubblicazione di post video tramite LinkedIn Marketing Developer Platform. Dettagli: linkedin.com/legal/privacy-policy.

8.5 X Corp. — X (già Twitter)

X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA. Pubblicazione tramite X API v2. X Corp. ha sede negli USA; i trasferimenti di dati verso gli USA sono inevitabili per l'utilizzo della piattaforma X. La tutela avviene sulla base delle clausole contrattuali tipo dell'UE (SCC 2021/914). Dettagli: x.com/privacy.

8.6 Meta Platforms Ireland Ltd. — Facebook

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irlanda. Pubblicazione di post video su pagine Facebook tramite Facebook Graph API. Note sulla privacy: facebook.com/privacy/policy.

8.7 Meta Platforms Ireland Ltd. — Threads

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irlanda. Pubblicazione di post su Threads tramite Threads Graph API. Poiché Threads è un prodotto Meta, vale la stessa informativa sulla privacy di Instagram: facebook.com/privacy/policy.

Base giuridica per la pubblicazione: art. 6 comma 1 lett. b GDPR (esecuzione del contratto). La rispettiva piattaforma è titolare autonomo del trattamento sotto il profilo della protezione dei dati per il trattamento sui propri sistemi.

9. Trattamento assistito da IA (trascrizione & analisi dei clip)

Per la creazione automatica di trascrizioni, per il riconoscimento di momenti interessanti e per la generazione di varianti di hook/titolo utilizziamo Google Generative AI (Gemini 2.5 Flash) di Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda. Vengono trasmessi trascrizioni audio/testuali nonché metadati pertinenti del rispettivo video. Il trattamento avviene all'interno dell'UE ovvero sulla base di clausole contrattuali tipo; Google tratta i contenuti esclusivamente per l'erogazione della prestazione API e non per l'addestramento dei propri modelli (condizioni Paid-Tier/Enterprise, Gemini API Terms of Service).

Base giuridica: art. 6 comma 1 lett. b GDPR (esecuzione del contratto).

10. Elaborazione dei pagamenti

L'elaborazione dei pagamenti e la creazione delle relative fatture avvengono tramite Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam, Paesi Bassi). A Mollie vengono trasmessi i dati necessari all'elaborazione del pagamento (importo, metodo di pagamento, e-mail, indirizzo di fatturazione). Mollie è essa stessa titolare del trattamento ai sensi del GDPR per il trattamento dei dati di pagamento. Ulteriori informazioni sono disponibili nell' informativa sulla privacy di Mollie.

Base giuridica: art. 6 comma 1 lett. b GDPR (esecuzione del contratto), art. 6 comma 1 lett. c GDPR (obblighi di legge di conservazione ai sensi del § 257 HGB, § 147 AO).

11. Invio di e-mail

Per l'invio di e-mail transazionali (conferma di registrazione, reset della password, fatture, notifiche relative ai clip) utilizziamo il relay SMTP di IONOS SE (vedi sezione 4). Non viene impiegato un fornitore di invio separato al di fuori dell'UE. L' invio avviene esclusivamente tramite connessioni cifrate TLS (TLS 1.2 o superiore).

12. Cookie & tecnologie analoghe

Il nostro sito di marketing castloop.de non imposta alcun cookie di tracciamento né cookie a scopo pubblicitario. L'applicazione app.castloop.de utilizza esclusivamente cookie tecnicamente necessari (in particolare un cookie HttpOnly per il sicuro refresh token, protezione CSRF, CSP nonce). Per questi non è necessario alcun consenso ai sensi del § 25 comma 2 n. 2 TDDDG. Ulteriori dettagli sono disponibili nella nostra informativa sui cookie.

13. Destinatari dei dati / responsabili del trattamento

I seguenti fornitori di servizi trattano dati personali per conto o in qualità di titolari autonomi (nel caso delle piattaforme social e di Mollie):

• IONOS SE (Montabaur, DE) — infrastruttura di hosting, relay SMTP, backup snapshot delle VM
• Mollie B.V. (Amsterdam, NL) — elaborazione dei pagamenti & gestione delle fatture
• Google Ireland Ltd. (Dublino, IE) — trascrizione e analisi dei clip tramite Google Generative AI (Gemini 2.5 Flash), YouTube Data API, Google Sign-In
• Microsoft Ireland Operations Ltd. (Dublino, IE) — autenticazione tramite account Microsoft
• Apple Distribution International Ltd. (Cork, IE) — autenticazione tramite Apple-ID
• Meta Platforms Ireland Ltd. (Dublino, IE) — pubblicazioni su Instagram, Facebook e Threads
• TikTok Technology Ltd. (Dublino, IE) — pubblicazioni su TikTok
• LinkedIn Ireland Unlimited Company (Dublino, IE) — pubblicazioni su LinkedIn
• X Corp. (San Francisco, USA) — pubblicazioni su X/Twitter (trattamento dei dati anche negli USA, tutelato dalle SCC 2021/914)

Concludiamo con tutti i responsabili del trattamento un contratto di trattamento dati (DPA) ai sensi dell'art. 28 GDPR; i clienti business possono a loro volta concludere un DPA con noi (vedi modello di DPA).

14. Trasferimenti verso paesi terzi

Ovunque possibile, trattiamo i dati personali all'interno dell' Unione Europea ovvero dello Spazio economico europeo. Nei seguenti casi un trasferimento verso paesi terzi (in particolare verso gli USA) è inevitabile:

• X Corp. (USA) — in caso di pubblicazione di clip su X
• Meta Platforms, Inc. (USA) — in caso di pubblicazione su Instagram, Facebook o Threads, nella misura in cui Meta Ireland trasferisca dati alla propria casa madre statunitense
• TikTok Inc. / ByteDance Ltd. (USA / Singapore) — in caso di pubblicazioni su TikTok, nella misura in cui i dati vengano trasferiti a società del gruppo
• Apple Inc. (USA) — in caso di Sign in with Apple, nella misura in cui Apple Distribution International Ltd. trasferisca dati alla propria casa madre statunitense
• Google LLC (USA) — nella misura in cui Google Ireland Ltd. trasferisca dati alla propria casa madre statunitense
• Microsoft Corporation (USA) — nella misura in cui Microsoft Ireland Operations Ltd. trasferisca dati alla propria casa madre statunitense

Per questi trasferimenti verso paesi terzi la tutela avviene sulla base delle clausole contrattuali tipo dell'UE (SCC) ai sensi della decisione di esecuzione (UE) 2021/914 della Commissione europea. Google, Microsoft, Meta e Apple sono inoltre certificati ai sensi del EU-US Data Privacy Framework (DPF) e offrono corrispondenti impegni di trasferimento. Su richiesta ti mettiamo a disposizione copie delle SCC concluse.

Base giuridica: art. 46 comma 2 lett. c GDPR.

15. Durata di conservazione

Trattiamo e memorizziamo i dati personali solo per il tempo necessario al raggiungimento della finalità del trattamento o nella misura in cui sussistano obblighi di legge di conservazione (in particolare § 257 HGB: 10 anni per documenti contabili / fatture, § 147 AO: 6 ovvero 10 anni per documenti fiscalmente rilevanti).

16. I tuoi diritti

Ai sensi del GDPR ti spettano i seguenti diritti:

• diritto di accesso (art. 15 GDPR)
• diritto di rettifica (art. 16 GDPR)
• diritto alla cancellazione (art. 17 GDPR)
• diritto di limitazione del trattamento (art. 18 GDPR)
• diritto alla portabilità dei dati (art. 20 GDPR)
• diritto di opposizione (art. 21 GDPR)
• revoca dei consensi prestati con effetto per il futuro (art. 7 comma 3 GDPR)
• diritto di reclamo presso un'autorità di controllo (art. 77 GDPR)

Self-service nella dashboard: puoi gestire i tuoi dati in qualsiasi momento autonomamente tramite la dashboard:

• Esportazione dei dati (art. 15 GDPR) — su Impostazioni → Esporta dati puoi scaricare una copia leggibile da macchina dei tuoi dati personali (JSON).
• Cancellazione dell'account (art. 17 GDPR) — su Impostazioni → Elimina account puoi rimuovere definitivamente il tuo account. La cancellazione avviene senza indebito ritardo dal database di produzione ed entro 30 giorni anche da tutti i backup (rotazione degli snapshot delle VM IONOS).

In alternativa è sufficiente un messaggio informale all'indirizzo info@castloop.de.

17. Autorità di controllo competente

L'autorità di controllo competente per noi in materia di protezione dei dati è il Garante per la protezione dei dati e la libertà d'informazione del Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart, baden-wuerttemberg.datenschutz.de. Un elenco completo dei garanti per la protezione dei dati dei Länder è disponibile presso il Garante federale per la protezione dei dati e la libertà d'informazione (BfDI).

18. Attualità

Questa informativa sulla privacy viene costantemente adeguata agli sviluppi giuridici e tecnici.

Aggiornato a: 28 maggio 2026 · Versione 1.1 (aggiunti Threads + Facebook, nuove sezioni 8.6 + 8.7)