Ultimo aggiornamento: 8 luglio 2026
SammaPix (“noi”, “ci” o “il Servizio”) è una piattaforma browser-based per l'ottimizzazione delle immagini, gestita da Luca Sammarco, un privato residente in Italia. La presente Informativa sulla Privacy spiega quali dati personali raccogliamo su di te, perché e su quale base giuridica li trattiamo, con chi li condividiamo e quali diritti hai nei loro confronti.
Siamo impegnati a trattare i dati personali in modo lecito, corretto e trasparente, in conformità con il Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 (“GDPR”), il Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003 come modificato dal D.Lgs. n. 101/2018) e le altre normative applicabili in materia di protezione dei dati.
Il titolare del trattamento di tutti i dati personali trattati in connessione con il Servizio è:
Per la grande maggioranza degli strumenti, le tue immagini non lasciano mai il tuo dispositivo.
I seguenti strumenti elaborano tutti i dati delle immagini interamente nel tuo browser web, utilizzando la CPU locale e le API del browser. Nessun dato relativo alle immagini viene trasmesso ai server di SammaPix o a terze parti in nessun momento del processo:
Strumenti AI: trasmissione limitata e temporanea a Google Gemini
I seguenti strumenti richiedono un account registrato e inviano dati all'API Google Gemini 2.5 Flash per l'analisi AI. In ogni caso viene trasmessa solo un'anteprima a risoluzione ridotta (massimo 512 pixel sul lato più lungo), non il file originale completo:
SammaPix non conserva alcuna copia dell'anteprima o del file audio dopo il completamento della chiamata API a Google Gemini. L'anteprima o il file audio esiste in modo transitorio nella memoria del server esclusivamente per effettuare la richiesta API e non viene registrato, memorizzato nella cache o archiviato.
Il trattamento dei dati inviati all'API Gemini da parte di Google è disciplinato dalla propria informativa sulla privacy e dai Termini aggiuntivi del Servizio API Gemini. Non siamo responsabili delle pratiche di trattamento dei dati di Google. Ti invitiamo a consultare la documentazione di Google prima di utilizzare gli strumenti AI se hai dubbi sui dati che stai inviando.
La base giuridica per la trasmissione dei dati di anteprima a Google Gemini è l'esecuzione del contratto con te (art. 6, par. 1, lett. b) GDPR), ovvero la fornitura delle funzionalità degli strumenti AI da te richieste.
SammaPix offre integrazioni opzionali con Google Drive e Dropbox per consentirti di importare file direttamente dal tuo archivio cloud nel browser per elaborarli.
drive.readonly. SammaPix legge solo i file che selezioni esplicitamente. Non navighiamo nell'intero Drive, non archiviamo i tuoi file e non conserviamo il tuo token di accesso Google oltre la sessione del browser attiva.Una volta importati, i file vengono elaborati localmente nel browser esattamente come i file caricati direttamente. Non vengono trasmessi dati aggiuntivi come risultato dell'utilizzo di queste integrazioni (ad eccezione degli strumenti AI, per i quali si applica la politica di sola anteprima descritta nella Sezione 2).
Un account registrato è necessario per utilizzare gli strumenti AI e accedere alle funzionalità del piano Pro. Quando crei un account, raccogliamo e conserviamo i seguenti dati personali:
Base giuridica: Esecuzione di un contratto (art. 6, par. 1, lett. b) GDPR), ovvero la fornitura del Servizio e l'applicazione dei limiti di piano previsti dai presenti Termini di Servizio.
Non vendiamo i tuoi dati personali a terze parti. Non utilizziamo il tuo indirizzo email per comunicazioni di marketing senza il tuo previo consenso esplicito o un'altra base giuridica applicabile.
L'autenticazione è gestita da NextAuth.js. Puoi accedere tramite Google OAuth, GitHub OAuth o email (magic link). Quando accedi tramite Google o GitHub, richiediamo solo gli scope OAuth minimi necessari per la verifica dell'identità: il tuo indirizzo email e le informazioni pubbliche del profilo. Non richiediamo l'accesso al tuo Google Drive, Gmail, ai repository GitHub o ad altri servizi oltre a quanto necessario per autenticare la tua identità.
I token di sessione vengono archiviati come cookie sicuri, HTTP-only e same-site, con scadenza dopo 30 giorni di inattività o immediatamente alla disconnessione. Questi cookie sono strettamente necessari per l'accesso autenticato al Servizio e vengono impostati sulla base giuridica dell'esecuzione del contratto (art. 6, par. 1, lett. b) GDPR).
I cookie di sessione specifici impostati da NextAuth sono:
next-auth.session-token — memorizza la sessione autenticata. Necessario per il funzionamento del login. Scade dopo 30 giorni di inattività o alla disconnessione.next-auth.csrf-token — token di protezione contro gli attacchi cross-site request forgery. Scadenza di sessione.next-auth.callback-url — memorizza l'URL di reindirizzamento durante il flusso OAuth. Scadenza di sessione.L'elaborazione dei pagamenti per gli abbonamenti al piano Pro è gestita interamente da Stripe, Inc. Quando sottoscrivi il piano Pro, fornisci i tuoi dati di pagamento direttamente a Stripe tramite la loro interfaccia di pagamento ospitata. SammaPix non riceve, elabora o archivia il numero completo della tua carta, il CVV, i dati del conto bancario o altre credenziali di pagamento non elaborate. Gli unici dati relativi ai pagamenti che conserviamo sono il tuo ID cliente Stripe e lo stato del tuo abbonamento (attivo, cancellato, in periodo di prova, ecc.), necessari per determinare i tuoi diritti relativi al piano.
Stripe elabora i tuoi dati di pagamento come responsabile del trattamento indipendente, soggetto alla conformità PCI DSS. Il trattamento delle tue informazioni di pagamento da parte di Stripe è disciplinato dalla Privacy Policy di Stripe.
Base giuridica: Esecuzione di un contratto (art. 6, par. 1, lett. b) GDPR) per il trattamento relativo alla gestione degli abbonamenti; adempimento di un obbligo legale (art. 6, par. 1, lett. c) GDPR) per la conservazione dei registri di pagamento richiesti dalla normativa fiscale italiana e dell'UE.
Vercel Analytics (sempre attivo, senza cookie)
Utilizziamo Vercel Analytics per raccogliere dati aggregati e anonimi sulle visualizzazioni di pagina e le metriche di performance web (come i tempi di caricamento delle pagine). Vercel Analytics non utilizza cookie e non ricorre a fingerprinting o ad altre tecniche per identificare singoli utenti. Non vengono trasmesse informazioni personalmente identificabili. Questo servizio è attivo per tutti gli utenti senza richiedere il consenso ai cookie e opera sulla base del nostro legittimo interesse a mantenere e migliorare il Servizio (art. 6, par. 1, lett. f) GDPR).
Google Analytics 4 (GA4) — subordinato al consenso ai cookie
Utilizziamo Google Analytics 4 per comprendere come gli utenti interagiscono con il Servizio. GA4 può raccogliere il tuo indirizzo IP (parzialmente anonimizzato da Google), il tipo di browser, il tipo di dispositivo, la regione geografica, le pagine visitate e gli eventi come l'utilizzo degli strumenti. GA4 imposta cookie persistenti per distinguere gli utenti tra sessioni diverse. GA4 viene attivato solo dopo che hai concesso il consenso ai cookie tramite il nostro banner.
Base giuridica: Il tuo consenso (art. 6, par. 1, lett. a) GDPR), che puoi revocare in qualsiasi momento aggiornando le tue preferenze sui cookie.
Meta Pixel (Facebook Pixel) — subordinato al consenso ai cookie
Utilizziamo il Meta Pixel per misurare l'efficacia delle nostre campagne pubblicitarie sulle piattaforme Meta (Facebook e Instagram). Il Pixel può raccogliere il tuo indirizzo IP, informazioni sul browser, l'URL delle pagine che visiti e le azioni che compi sul Servizio (come la registrazione o l'avvio di una prova gratuita). Il Pixel imposta cookie persistenti nel tuo browser. Il Meta Pixel viene attivato solo dopo che hai concesso il consenso ai cookie.
Base giuridica: Il tuo consenso (art. 6, par. 1, lett. a) GDPR), che puoi revocare in qualsiasi momento. Puoi anche gestire l'utilizzo dei tuoi dati da parte di Meta tramite i controlli sui cookie di Meta.
Meta Conversions API (lato server)
In aggiunta al Meta Pixel lato client, utilizziamo anche la Conversions API di Meta per inviare determinati eventi di conversione (come la registrazione dell'account e l'acquisto dell'abbonamento) direttamente dal nostro server a Meta per finalità di attribuzione pubblicitaria. Questa integrazione lato server trasmette:
La Conversions API viene attivata solo quando hai concesso il consenso ai cookie. Il tuo indirizzo email e il tuo IP vengono convertiti in hash prima della trasmissione e Meta riceve solo i valori in hash, non gli originali. Nonostante l'hashing, questo costituisce trattamento di dati personali ed è soggetto al tuo consenso.
Base giuridica: Il tuo consenso (art. 6, par. 1, lett. a) GDPR).
Google Ads — subordinato al consenso ai cookie
Utilizziamo il monitoraggio delle conversioni di Google Ads (tramite il Google tag / gtag.js) per misurare l'efficacia delle nostre campagne pubblicitarie su Google. Google Ads può raccogliere il tuo indirizzo IP e impostare cookie per attribuire le conversioni (come gli abbonamenti al piano Pro) ai clic sugli annunci. Il tracciamento di Google Ads viene attivato solo dopo che hai concesso il consenso ai cookie.
Base giuridica: Il tuo consenso (art. 6, par. 1, lett. a) GDPR).
Gli utenti del piano Free possono visualizzare annunci pubblicitari erogati da Google AdSense. Google AdSense utilizza cookie e tecnologie di tracciamento simili per mostrare annunci che possono essere personalizzati in base alla cronologia di navigazione, agli interessi e ai dati demografici inferiti. AdSense viene attivato solo dopo che hai concesso il consenso ai cookie tramite il nostro banner.
Puoi gestire le tue preferenze di personalizzazione degli annunci in qualsiasi momento tramite Impostazioni Annunci Google o rinunciare alla pubblicità personalizzata tramite il modulo di opt-out della Digital Advertising Alliance.
Gli utenti del piano Pro non visualizzano annunci AdSense.
Base giuridica: Il tuo consenso (art. 6, par. 1, lett. a) GDPR).
La consegna delle email è gestita da Resend, Inc., un fornitore di servizi email transazionali. Utilizziamo Resend per inviare due categorie di email:
Email transazionali
Queste email sono necessarie per il funzionamento del Servizio e del tuo account. Includono: email di verifica dell'account e magic link per l'accesso, notifiche di modifica della password, conferme di abbonamento e ricevute di pagamento, conferme di cancellazione dell'abbonamento e comunicazioni rilevanti riguardanti modifiche ai presenti Termini o alla nostra Informativa sulla Privacy. Queste email vengono inviate sulla base giuridica dell'esecuzione del contratto (art. 6, par. 1, lett. b) GDPR) e non è possibile disiscriversi da esse finché si dispone di un account attivo.
Email di marketing
Se hai acconsentito alle comunicazioni di marketing, o laddove consentito dalla normativa applicabile (ad esempio la disposizione di soft opt-in per i clienti esistenti prevista dal Codice Privacy italiano e dalla Direttiva ePrivacy), potremmo inviarti aggiornamenti sui prodotti, annunci di nuove funzionalità, suggerimenti e offerte promozionali. Queste email vengono inviate sulla base giuridica del tuo consenso o del legittimo interesse (art. 6, par. 1, lett. a) o f) GDPR). Puoi disiscriverti dalle email di marketing in qualsiasi momento cliccando sul link di disiscrizione in qualsiasi email di marketing o contattandoci all'indirizzo luca@sammapix.com. La disiscrizione dalle email di marketing non influisce sulla ricezione delle email transazionali.
Resend tratta il tuo indirizzo email e i dati di consegna delle email come responsabile del trattamento per nostro conto. Le pratiche sulla privacy di Resend sono descritte nella Privacy Policy di Resend.
Utilizziamo un banner per il consenso ai cookie per darti il controllo sui cookie non essenziali. Le categorie seguenti spiegano quali cookie impostiamo e su quale base.
Strettamente Necessari — Nessun consenso richiesto
Questi cookie sono essenziali per il funzionamento del Servizio e non possono essere disattivati. Vengono impostati sulla base dell'esecuzione del contratto.
| Nome cookie | Finalità | Scadenza |
|---|---|---|
next-auth.session-token | Gestione della sessione autenticata | 30 giorni / alla disconnessione |
next-auth.csrf-token | Protezione da attacchi CSRF | Sessione |
next-auth.callback-url | Flusso di reindirizzamento OAuth | Sessione |
cookie-consent | Memorizza la tua preferenza di consenso ai cookie | 1 anno |
Preferenze — Nessun consenso richiesto
Questi memorizzano le tue preferenze di visualizzazione localmente e non contengono dati personali.
| Chiave (localStorage) | Finalità | Scadenza |
|---|---|---|
theme | Preferenza modalità chiara / scura | Persistente (localStorage) |
Analytics e Pubblicità — Consenso richiesto
Questi cookie vengono impostati solo dopo che hai concesso il consenso tramite il nostro banner. Puoi revocare il consenso in qualsiasi momento.
| Nome cookie | Fornitore | Finalità | Scadenza |
|---|---|---|---|
_fbp | Meta | Identifica i browser per l'attribuzione pubblicitaria; impostato dal Meta Pixel al caricamento della pagina | 90 giorni |
_fbc | Meta | Memorizza il Meta click ID (fbclid) quando si arriva da un annuncio Facebook o Instagram | 90 giorni |
_gcl_au | Cookie linker di conversione Google Ads; traccia gli eventi di conversione pubblicitaria | 90 giorni | |
_ga | Google Analytics 4 — distingue gli utenti unici | 2 anni | |
_ga_* | Google Analytics 4 — persistenza dello stato della sessione | 2 anni | |
__gads | Google AdSense — personalizzazione degli annunci e frequency capping (solo piano Free) | 13 mesi | |
__gpi | Google AdSense — personalizzazione degli annunci (solo piano Free) | 13 mesi |
Puoi revocare o modificare il tuo consenso ai cookie in qualsiasi momento cliccando su “Impostazioni Cookie” nel footer di qualsiasi pagina. Puoi anche disabilitare i cookie tramite le impostazioni del browser, ma questo potrebbe compromettere il funzionamento di alcune funzionalità del Servizio. La revoca del consenso non pregiudica la liceità del trattamento effettuato prima della revoca.
I seguenti servizi di terze parti possono trattare dati personali in connessione con il Servizio. Tutti i trasferimenti internazionali di dati personali al di fuori del SEE avvengono sulla base delle Clausole Contrattuali Standard (SCC) adottate ai sensi dell'art. 46, par. 2, lett. c) GDPR, di decisioni di adeguatezza o di altre garanzie appropriate ai sensi del Capitolo V del GDPR.
| Servizio | Fornitore | Finalità | Dati trattati | Sede |
|---|---|---|---|---|
| Gemini 2.5 Flash API | Google LLC | Analisi AI di immagini e audio | Anteprime immagini, file audio | USA |
| Google OAuth | Google LLC | Autenticazione accesso | Email, nome, foto profilo | USA |
| GitHub OAuth | GitHub, Inc. | Autenticazione accesso | Email, username, foto profilo | USA |
| Stripe | Stripe, Inc. | Elaborazione pagamenti | Dati carta di pagamento, nome e email di fatturazione | USA / UE |
| Vercel | Vercel, Inc. | Hosting, infrastruttura, funzioni serverless, analytics senza cookie | Indirizzi IP (transitori, nei log delle richieste), metriche di pagina anonimizzate | USA / edge globale |
| Meta Pixel | Meta Platforms, Inc. | Misurazione conversioni pubblicitarie (subordinata al consenso) | Indirizzo IP, info browser, eventi di pagina, cookie (_fbp, _fbc) | USA |
| Meta Conversions API | Meta Platforms, Inc. | Attribuzione pubblicitaria lato server (subordinata al consenso) | Email in hash, IP in hash, tipo di evento | USA |
| Google Ads (gtag) | Google LLC | Tracciamento conversioni pubblicitarie (subordinato al consenso) | Indirizzo IP, cookie (_gcl_au), eventi di conversione | USA |
| Google Analytics 4 | Google LLC | Analytics comportamentali (subordinate al consenso) | IP anonimizzato, browser, dispositivo, pagine, eventi, cookie (_ga, _ga_*) | USA |
| Google AdSense | Google LLC | Pubblicità — solo piano Free (subordinata al consenso) | Info browser, profili di interesse, cookie (__gads, __gpi) | USA |
| Resend | Resend, Inc. | Invio email transazionali e di marketing | Indirizzo email, nome, eventi di apertura/click email | USA |
Se ti trovi nello Spazio Economico Europeo, nel Regno Unito, in Svizzera o in un'altra giurisdizione con normative equivalenti in materia di protezione dei dati, hai i seguenti diritti in relazione ai tuoi dati personali:
Per esercitare uno qualsiasi di questi diritti, contattaci all'indirizzo luca@sammapix.com. Daremo riscontro alla tua richiesta entro 72 ore e risponderemo nel merito entro 30 giorni. Qualora le richieste siano complesse o numerose, potremmo prorogare il termine di risposta di ulteriori due mesi, nel qual caso ti informeremo entro il periodo iniziale di 30 giorni.
Non addebiteremo alcuna tariffa per l'esercizio dei tuoi diritti, salvo che le richieste siano manifestamente infondate o eccessive, nel qual caso potremmo richiedere un contributo ragionevole o rifiutarci di dare seguito alla richiesta, come consentito dall'art. 12, par. 5, GDPR.
Se ritieni che non abbiamo adeguatamente tutelato i tuoi diritti, hai il diritto di proporre reclamo all'autorità di controllo competente. In Italia, l'autorità di controllo è il Garante per la protezione dei dati personali. I residenti nell'UE possono anche contattare l'autorità di controllo del loro Paese di residenza abituale.
Il Servizio non è rivolto né destinato all'utilizzo da parte di minori di 16 anni. Non raccogliamo consapevolmente dati personali di minori di 16 anni. Se dovessimo venire a conoscenza di aver inavvertitamente raccolto dati personali di un minore di 16 anni senza il consenso verificabile di un genitore o tutore, adotteremo tempestivamente le misure necessarie per eliminare tali dati dai nostri sistemi.
Se sei un genitore o tutore legale e ritieni che tuo figlio di età inferiore ai 16 anni ci abbia fornito dati personali, ti preghiamo di contattarci immediatamente all'indirizzo luca@sammapix.com e adotteremo le misure appropriate.
Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali contro la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato. Tali misure includono: cifratura HTTPS per tutti i dati in transito, cookie di sessione HTTP-only e same-site, limitazione del numero di richieste lato server sugli endpoint API, validazione e sanificazione degli input, e controlli di accesso sui sistemi che trattano dati personali.
Nessun metodo di trasmissione su Internet o metodo di archiviazione elettronica è completamente sicuro. Pur adottando misure ragionevolmente adeguate per proteggere i tuoi dati personali, non possiamo garantire una sicurezza assoluta. Sei responsabile del mantenimento della sicurezza delle credenziali del tuo account.
In caso di violazione dei dati personali che possa comportare un rischio per i tuoi diritti e le tue libertà, notificheremo all'autorità di controllo competente entro 72 ore dalla scoperta della violazione (art. 33 GDPR) e, ove richiesto, informeremo gli utenti interessati senza ingiustificato ritardo (art. 34 GDPR).
Potremmo aggiornare periodicamente la presente Informativa sulla Privacy per riflettere modifiche al Servizio, alla normativa applicabile o alle nostre pratiche di trattamento dei dati. Quando apportiamo modifiche rilevanti, in particolare quelle che ampliano le categorie di dati raccolti, modificano la base giuridica del trattamento o introducono nuovi responsabili del trattamento terzi, aggiorneremo la data “Ultimo aggiornamento” in cima a questa pagina e, ove richiesto dalla normativa applicabile o ove la modifica incida materialmente sui tuoi diritti, informeremo gli utenti registrati via email o tramite un avviso prominente all'interno del Servizio almeno 14 giorni prima che la modifica entri in vigore.
Il continuato utilizzo del Servizio dopo la data di entrata in vigore di una versione aggiornata dell'Informativa costituisce accettazione della versione rivista. Se non accetti modifiche rilevanti alla presente informativa, devi cessare di utilizzare il Servizio e puoi richiedere la cancellazione del tuo account.
Per domande relative alla privacy, richieste di esercizio dei diritti GDPR o qualsiasi altra questione relativa alla protezione dei dati, ti preghiamo di contattarci:
Ti preghiamo di includere il tuo nome, l'indirizzo email associato al tuo account e una descrizione chiara della tua richiesta o del tuo reclamo. Potremmo dover verificare la tua identità prima di elaborare determinate richieste, al fine di proteggere l'accesso fraudolento ai tuoi dati.
La presente Informativa sulla Privacy è fornita a scopo informativo e riflette le nostre attuali pratiche di trattamento dei dati alla data indicata sopra. Questo documento non costituisce consulenza legale. Consulta un avvocato qualificato per una consulenza legale specifica alla tua situazione.