Galleria

Informativa Privacy di Slance

La presente informativa descrive le modalità e le finalità del trattamento dei dati personali degli utenti del sito web Slance (di seguito anche la "Piattaforma"), raggiungibile agli URL slance.xyz e slance.it, sviluppato e gestito da ByteBiz di Christian Carpinelli. L'informativa è resa ai sensi dell'art. 13 del Regolamento (UE) 2016/679 ("GDPR") e della normativa italiana vigente in materia di protezione dei dati personali.

Titolare del Trattamento: Il titolare del trattamento è ByteBiz di Christian Carpinelli (P. IVA 03316450596), con sede legale in Via Macchia Grande, 73, 04100 Latina (LT), Italia. Il Titolare può essere contattato per qualsiasi questione relativa alla privacy all'indirizzo email: privacy@bytebiz.co.

Tipologie di Dati Personali Raccolti

Slance raccoglie e tratta diverse tipologie di dati personali forniti direttamente dall'Utente o generati dall'utilizzo del servizio:

  • Dati dell'account Google: informazioni fornite da Google quando l'Utente utilizza l'accesso tramite Google. In particolare, Slance riceve da Google il nome visualizzato (nome e cognome o nickname) e l'indirizzo email associato all'account Google dell'Utente. Questi dati vengono utilizzati per creare e gestire l'account utente su Slance e identificare l'Utente all'interno della Piattaforma.
  • Immagini caricate: le immagini che l'Utente carica sulla Piattaforma per usufruire delle funzionalità di trasformazione tramite intelligenza artificiale. Queste immagini possono contenere dati personali se, ad esempio, raffigurano l'Utente o altre persone, oppure contengono metadati incorporati. Slance tratta tali immagini esclusivamente per eseguire le trasformazioni richieste dall'Utente e per permettergli di accedere alla propria cronologia di immagini.
  • Dati di utilizzo: informazioni raccolte automaticamente durante la navigazione e l'utilizzo di Slance. Questi dati includono, ad esempio, l'indirizzo IP dell'Utente, il tipo e la versione di browser e sistema operativo utilizzati, gli orari e le date di accesso, le pagine visitate e le funzionalità utilizzate, l'identificativo univoco di sessione, e i log delle operazioni effettuate sull'account (ad esempio, caricamento di un'immagine, richiesta di trasformazione, ecc.). Tali dati vengono raccolti principalmente per finalità di sicurezza, prevenzione di abusi, e per ottenere statistiche aggregate sull'utilizzo del servizio.
  • Dati di analisi (Analytics): dati relativi alle interazioni dell'Utente con la Piattaforma raccolti tramite la tecnologia di analisi PostHog. Queste informazioni possono riguardare, ad esempio, le funzionalità più utilizzate, il flusso di navigazione all'interno dell'applicazione e altri indicatori di utilizzo. La raccolta di dati di analisi avviene solo se l'Utente presta il proprio consenso tramite il banner cookie, ed è effettuata mediante un'istanza self-hosted di PostHog con server localizzati nell'Unione Europea. I dati di analytics sono raccolti in forma pseudonimizzata o aggregata, senza identificare direttamente l'Utente, e servono unicamente a scopo statistico e di miglioramento del servizio.

Nota: Slance non effettua alcuna forma di riconoscimento facciale, identificazione biometrica o profilazione automatizzata sulle immagini caricate. Le immagini fornite dall'Utente vengono utilizzate unicamente per generare il risultato richiesto (trasformazione AI) e non per identificare le persone raffigurate o estrarre dati biometrici dai volti eventualmente presenti.

Finalità e Basi Giuridiche del Trattamento

I dati personali dell'Utente sono trattati da Slance per le seguenti finalità, secondo le basi giuridiche previste dal GDPR:

  1. Fornitura del servizio e gestione dell'account: utilizzare i dati di account (nome, email) per consentire all'Utente di registrarsi e accedere a Slance tramite il login con Google, nonché per gestire il suo account utente e i crediti associati per le trasformazioni AI. Ciò include la possibilità di utilizzare le funzionalità della Piattaforma (caricamento immagini, trasformazioni AI e visualizzazione dei risultati). Base giuridica: Esecuzione di un contratto di cui l'Utente è parte (art. 6(1)(b) GDPR), in quanto il trattamento è necessario a erogare il servizio richiesto.
  2. Salvataggio e visualizzazione della cronologia di immagini: memorizzare sul server le immagini caricate dall'Utente e i risultati delle trasformazioni effettuate, rendendoli disponibili nella sezione personale dell'account. Questa funzionalità consente all'Utente di rivedere e riutilizzare le proprie immagini trasformate. Base giuridica: Il consenso dell'Utente (art. 6(1)(a) GDPR), espresso tramite l'azione volontaria di caricare immagini e utilizzare la cronologia, e/o il legittimo interesse del Titolare (art. 6(1)(f) GDPR) a fornire una funzionalità ragionevolmente attesa nell'ambito del servizio, bilanciando tale interesse con i diritti dell'Utente. L'Utente mantiene comunque il controllo sulle proprie immagini e può richiederne la cancellazione in qualsiasi momento.
  3. Analisi dell'utilizzo e miglioramento del servizio: raccogliere dati sull'utilizzo di Slance (tramite PostHog) per comprendere come la Piattaforma viene utilizzata e identificare possibili miglioramenti, correzioni di bug o ottimizzazioni dell'esperienza utente. Ad esempio, i dati di analytics possono indicare quali funzionalità sono più popolari o se vi sono problemi ricorrenti. Base giuridica: Il consenso esplicito dell'Utente (art. 6(1)(a) GDPR), fornito tramite l'accettazione dei cookie di analisi nel banner dedicato.
  4. Funzionamento tecnico e prevenzione abusi: monitorare il corretto funzionamento di Slance, proteggere la sicurezza della Piattaforma e degli Utenti, e prevenire usi impropri o attività illecite (ad es. uso eccessivo non autorizzato, tentativi di intrusione, utilizzi che violano i Termini di servizio). Questo include l'analisi dei log di sistema, degli indirizzi IP e di altri dati di utilizzo per individuare anomalie o violazioni. Base giuridica: Il legittimo interesse del Titolare (art. 6(1)(f) GDPR) a garantire la sicurezza, l'integrità e la disponibilità del servizio, proteggendo sia i propri interessi sia quelli degli Utenti. Tale interesse è bilanciato con i diritti degli interessati e comporta un impatto minimo sulla privacy (i dati sono utilizzati principalmente per controlli tecnici e non per prendere decisioni nei confronti dell'Utente).
  5. Ottemperanza a obblighi di legge: trattare ed eventualmente conservare i dati personali dell'Utente quando ciò sia necessario per adempiere a obblighi previsti da leggi o regolamenti applicabili, ovvero per ottemperare a ordini dell'Autorità giudiziaria o di altre autorità pubbliche competenti. Base giuridica: Adempimento di un obbligo legale (art. 6(1)(c) GDPR).

Slance non utilizza i dati personali degli Utenti per finalità di marketing, invio di newsletter o profilazione commerciale. L'indirizzo email fornito in fase di registrazione verrà utilizzato solo per comunicazioni inerenti al servizio stesso (ad esempio, avvisi importanti sul funzionamento di Slance, comunicazioni tecniche o di supporto) e mai per inviare messaggi promozionali non richiesti.

Nota: Laddove la base giuridica del trattamento sia il consenso dell'Utente (ad es. per l'analisi dei dati di utilizzo), l'Utente ha il diritto di revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento effettuato prima della revoca. La revoca del consenso potrà comportare l'impossibilità per il Titolare di continuare a fornire talune funzionalità opzionali (ad es. la raccolta di dati di analytics), ma non inciderà sull'uso delle funzionalità principali di Slance.

Destinatari dei Dati Personali e Trasferimenti Internazionali

I dati personali raccolti tramite Slance sono trattati prevalentemente dal Titolare. In alcuni casi, per il perseguimento delle finalità descritte, il Titolare potrebbe comunicare alcuni dati a soggetti terzi fornitori di servizi, i quali tratteranno i dati per conto del Titolare in qualità di Responsabili del trattamento ai sensi dell'art. 28 GDPR, oppure in qualità di autonomi titolari nei casi previsti. In particolare, i dati dell'Utente potranno essere comunicati a queste categorie di destinatari:

  • Fornitori di infrastrutture cloud e hosting: Slance è ospitato su server e servizi cloud situati nell'Unione Europea. Il Titolare si avvale di fornitori terzi per l'hosting del sito web, l'archiviazione dei dati e la manutenzione dell'infrastruttura informatica. Tali fornitori (ad esempio servizi di web hosting o storage cloud) sono nominati Responsabili del trattamento e sono contrattualmente obbligati a rispettare la normativa europea in materia di protezione dei dati.
  • Google (autenticazione): Per la funzione "Accedi con Google", Slance interagisce con Google (Google Ireland Ltd/Google LLC). Quando l'Utente effettua l'accesso tramite Google, Google condivide con Slance alcuni dati dell'account (nome, email) per autenticare l'Utente. Google tratta questi dati in qualità di titolare autonomo secondo la propria privacy policy. Al di fuori di questo processo di autenticazione, Slance non comunica dati personali dell'Utente a Google.
  • OpenAI (servizio AI esterno): Slance utilizza le API di OpenAI per effettuare le trasformazioni di immagini richieste dagli Utenti. Ciò significa che le immagini caricate (e i dati necessari all'elaborazione) vengono trasmesse ai server di OpenAI, gestiti da OpenAI, L.L.C. OpenAI agisce in qualità di Responsabile esterno del trattamento per conto di Slance, limitatamente all'elaborazione tecnica delle immagini. I dati inviati a OpenAI non vengono da questa utilizzati per finalità proprie (in conformità ai termini d'uso delle API) ma esclusivamente per restituire l'immagine trasformata. Poiché OpenAI ha sede negli Stati Uniti, ciò comporta un trasferimento di dati al di fuori dell'Unione Europea (si veda oltre la sezione relativa ai trasferimenti internazionali).
  • Piattaforma di analisi (PostHog): I dati di analytics raccolti con il consenso dell'Utente vengono gestiti tramite la piattaforma PostHog, che il Titolare ospita su un server nell'UE sotto il proprio controllo. PostHog, Inc. (società fornitrice del software) non ha accesso diretto a tali dati, in quanto l'implementazione è self-hosted. Pertanto, i dati di utilizzo raccolti a fini statistici non sono condivisi con alcun soggetto terzo esterno.
  • Personale autorizzato e consulenti: Potranno inoltre avere accesso ai dati personali dell'Utente, nell'ambito delle rispettive competenze, collaboratori o consulenti del Titolare (ad esempio, consulenti legali, contabili, tecnici IT) debitamente autorizzati e vincolati a obblighi di riservatezza. Tali soggetti tratteranno i dati in qualità di persone che agiscono sotto l'autorità del Titolare o, ove applicabile, quali Responsabili del trattamento.
  • Autorità pubbliche: In caso di obbligo di legge o di richiesta valida da parte delle autorità, il Titolare potrà comunicare i dati dell'Utente a forze dell'ordine, autorità giudiziarie o altri enti pubblici, per ottemperare a obblighi legali o per proteggere i diritti del Titolare in sede giudiziaria.

Trasferimenti di dati extra-UE: Il Titolare cerca di conservare i dati personali degli Utenti all'interno dello Spazio Economico Europeo. Tuttavia, come evidenziato sopra, l'utilizzo delle API di OpenAI implica il trasferimento di alcuni dati (immagini caricate e informazioni correlate) verso server situati negli Stati Uniti. Tale trasferimento avviene nel rispetto delle disposizioni degli artt. 44 e ss. GDPR. In mancanza di una decisione di adeguatezza della Commissione UE per gli USA, il Titolare ha adottato garanzie adeguate a tutela dei dati: in particolare, sono state stipulate con OpenAI le Clausole Contrattuali Standard approvate dalla Commissione Europea ai sensi dell'art. 46(2)(c) GDPR. Tali clausole contrattuali tipo assicurano che i dati personali degli Utenti ricevano un livello di protezione sostanzialmente equivalente a quello previsto nell'UE, anche durante il trattamento negli Stati Uniti. Ove necessario, sono state implementate misure di sicurezza supplementari per rafforzare la protezione dei dati durante il trasferimento. L'Utente può richiedere maggiori informazioni sulle garanzie relative ai trasferimenti internazionali (o una copia delle Clausole Contrattuali Standard) contattando il Titolare.

Periodo di Conservazione dei Dati

Slance conserva i dati personali dell'Utente solo per il tempo necessario al raggiungimento delle finalità per le quali sono stati raccolti, o per ottemperare a obblighi di legge. In generale:

  • Dati dell'account (nome, email): conservati per tutta la durata in cui l'Utente mantiene attivo il proprio account su Slance. In caso di cancellazione dell'account da parte dell'Utente o di richiesta di eliminazione, tali dati vengono rimossi dai sistemi del Titolare entro tempi tecnici ragionevoli.
  • Immagini caricate e cronologia: conservate sul sistema finché l'account dell'Utente rimane attivo, per consentire all'Utente di accedere alla propria cronologia personale di immagini e risultati. L'Utente ha la possibilità di eliminare singole immagini dal proprio account (se tale funzionalità è disponibile) o può richiederne la cancellazione al Titolare in qualsiasi momento. In ogni caso, quando l'account viene chiuso o eliminato, tutte le immagini associate a tale account e i relativi dati vengono definitivamente cancellati dai nostri server (fatto salvo quanto indicato di seguito riguardo alle copie di backup).
  • Dati di utilizzo (log, informazioni tecniche): conservati per un periodo limitato necessario a perseguire le finalità di sicurezza e manutenzione del sistema. Di norma, tali log vengono conservati per un massimo di 12 mesi, trascorsi i quali vengono cancellati in modo sicuro o anonimizzati, salvo che sia necessaria una conservazione ulteriore per adempiere a un obbligo legale o per tutelare i diritti del Titolare (ad esempio, in caso di incidenti di sicurezza o abusi, i log pertinenti potrebbero essere conservati più a lungo per documentare l'evento).
  • Dati di analisi: i dati raccolti per finalità statistiche e di miglioramento del servizio vengono conservati in forma aggregata o pseudonimizzata. Gli eventuali dati analitici grezzi associati a identificatori (ID utente pseudonimi) sono conservati per il tempo strettamente necessario ad analizzare l'utilizzo del servizio e le tendenze (in generale non oltre 12 mesi), dopodiché vengono cancellati o anonimizzati. I risultati aggregati (che non contengono dati identificativi) possono essere conservati più a lungo.
  • Esigenze legali: se si rende necessario conservare i dati per adempiere a obblighi legali o regolamentari, o in base a ordini di autorità, i dati saranno conservati per il periodo imposto da tali obblighi.

Al termine dei periodi di conservazione sopra indicati, o su richiesta motivata dell'Utente, i dati personali saranno eliminati in modo sicuro o resi anonimi in modo irreversibile. Si segnala che, per ragioni di sicurezza e continuità operativa, i sistemi del Titolare effettuano copie di backup periodiche dei dati: ciò significa che alcune informazioni potrebbero persistere in archivi di backup cifrati per un breve periodo aggiuntivo oltre le tempistiche sopra indicate, prima di essere sovrascritte. In ogni caso, tali dati di backup restano protetti e accessibili solo al Titolare, e vengono eliminati definitivamente entro un periodo ragionevole.

Diritti dell'Interessato

In conformità al GDPR, l'Utente (in qualità di interessato) gode di una serie di diritti relativi ai propri dati personali. In particolare, l'Utente ha il diritto di:

  • Accesso: ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di accedere a tali dati e riceverne una copia (art. 15 GDPR).
  • Rettifica: chiedere la rettifica o l'aggiornamento dei dati personali inesatti o incompleti che lo riguardano (art. 16 GDPR).
  • Cancellazione: ottenere la cancellazione dei dati personali che lo riguardano, se sussistono i presupposti previsti (ad esempio, se i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti, oppure se viene revocato il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico) – noto anche come "diritto all'oblio" (art. 17 GDPR).
  • Limitazione del trattamento: richiedere che il Titolare limiti il trattamento dei propri dati personali in determinate circostanze (ad esempio, se l'Utente contesta l'esattezza dei dati, per il periodo necessario a verificare tale esattezza; oppure se il trattamento è illecito ma l'Utente si oppone alla cancellazione dei dati chiedendone invece la limitazione) (art. 18 GDPR).
  • Opposizione: opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano basato sul legittimo interesse del Titolare (art. 21 GDPR). In tal caso, il Titolare si asterrà dal trattare ulteriormente i dati personali, salvo dimostrare l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui diritti dell'Utente, oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
  • Portabilità dei dati: ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti dall'Utente al Titolare, e trasmetterli a un altro titolare del trattamento senza impedimenti, ove tecnicamente fattibile (art. 20 GDPR). Questo diritto si applica ai dati trattati con mezzi automatizzati e basati sul consenso dell'Utente o su un contratto.
  • Revoca del consenso: revocare in qualsiasi momento il consenso prestato per specifici trattamenti (ad esempio, per l'utilizzo dei cookie di analytics), senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.
  • Reclamo: proporre un reclamo presso un'Autorità di controllo, in particolare nello Stato membro in cui l'Utente risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione dei suoi dati. In Italia l'Autorità di riferimento è il Garante per la Protezione dei Dati Personali (Garante Privacy).

Per esercitare i propri diritti, l'Utente può contattare in qualsiasi momento il Titolare inviando una richiesta all'indirizzo email privacy@bytebiz.co. Le richieste saranno gestite ed evase dal Titolare nel più breve tempo possibile e, in ogni caso, entro i termini stabiliti dalla legge (di norma entro 30 giorni, prorogabili in caso di complessità). L'esercizio dei diritti è gratuito, salvo richieste manifestamente infondate o eccessive, nel qual caso il Titolare potrà addebitare un costo amministrativo ragionevole o rifiutare la richiesta, come consentito dall'art. 12 GDPR.

Uso di Cookie e Tecnologie di Tracciamento

La Piattaforma Slance utilizza cookie e tecnologie di tracciamento simili per garantire il corretto funzionamento del sito e migliorare l'esperienza utente. L'utilizzo di tali tecnologie avviene nel rispetto della normativa vigente (Direttiva ePrivacy e normativa italiana di recepimento, oltre al GDPR, ove applicabile). In particolare:

  • Cookie tecnici necessari: Slance impiega cookie tecnici strettamente necessari per erogare il servizio richiesto dall'Utente. Ad esempio, vengono utilizzati cookie di sessione per mantenere l'Utente loggato al proprio account dopo l'autenticazione tramite Google, e cookie per ricordare eventuali preferenze dell'Utente (come la scelta della lingua). Questi cookie sono essenziali per il funzionamento del sito e non richiedono il consenso dell'Utente. Senza di essi, alcune funzionalità di Slance potrebbero non essere disponibili o non funzionare correttamente.
  • Cookie di analisi (analytics): previo consenso dell'Utente, espresso tramite l'apposito banner cookie al primo accesso, Slance utilizza cookie di analisi per raccogliere informazioni statistiche aggregate sull'uso del servizio. In particolare, vengono utilizzati cookie collegati alla piattaforma PostHog, i quali permettono di tracciare in modo aggregato e anonimo/pseudonimo l'interazione dell'Utente con la Piattaforma (ad esempio, quali pagine vengono visitate, quali funzioni sono utilizzate con maggiore frequenza, ecc.). Questi dati aiutano a comprendere come migliorare il servizio. I cookie di analytics sono impostati sul dominio di Slance (cookie di prima parte) e i dati raccolti tramite essi non sono condivisi con terze parti esterne. L'Utente è libero di non accettare tali cookie o di revocare successivamente il proprio consenso, senza che ciò pregiudichi la fruizione delle funzionalità principali del servizio. Le preferenze sui cookie possono essere modificate in qualsiasi momento tramite il banner di gestione cookie reso disponibile sul sito, oppure attraverso le impostazioni del browser (che consentono di eliminare o bloccare i cookie).
  • Assenza di cookie di profilazione: Slance non utilizza cookie di profilazione per finalità pubblicitarie o di marketing. Non viene effettuato alcun tracciamento volto a creare profili personalizzati degli Utenti né ad inviare pubblicità mirata.

Maggiori informazioni sull'uso dei cookie e sulle relative opzioni di gestione sono disponibili attraverso il banner cookie o la sezione di impostazioni dei cookie sul sito web.

Misure di Sicurezza

Il Titolare adotta misure di sicurezza tecniche e organizzative adeguate per proteggere i dati personali trattati tramite Slance, in conformità con l'art. 32 GDPR. Tali misure sono volte a prevenire rischi quali perdita, uso improprio, accessi non autorizzati, divulgazione, alterazione o distruzione dei dati. Tra le misure implementate figurano, ad esempio:

  • La cifratura delle comunicazioni tra il dispositivo dell'Utente e i server di Slance tramite protocollo HTTPS (TLS), per impedire l'intercettazione dei dati in transito.
  • Sistemi di firewall e monitoraggio delle intrusioni per proteggere l'infrastruttura server.
  • Controlli di accesso interni, che limitano l'accesso ai dati personali unicamente al Titolare e agli eventuali collaboratori/fornitori espressamente autorizzati, solo per le finalità di manutenzione e gestione del servizio.
  • Procedure di gestione delle credenziali e delle autorizzazioni, per garantire che solo le persone autorizzate possano accedere alle informazioni sensibili.
  • Pseudonimizzazione e minimizzazione dei dati ove possibile (ad esempio, per i dati di analytics vengono utilizzati identificatori pseudonimi anziché informazioni direttamente identificative).
  • Backup regolari dei dati, archiviati in forma cifrata, per prevenire la perdita di informazioni in caso di incidenti tecnici.
  • Aggiornamento costante di sistemi e software per applicare le patch di sicurezza e adottare le migliori pratiche per la protezione dei dati.

Sebbene nessun sistema informatico possa garantire la sicurezza assoluta, il Titolare si impegna a mantenere un elevato standard di sicurezza dei dati e a rivedere regolarmente le proprie misure, adeguandole all'evoluzione delle minacce e delle migliori pratiche di settore. In caso di violazione dei dati personali (data breach) che possa comportare un rischio elevato per i diritti e le libertà degli Utenti, il Titolare notificherà l'accaduto all'autorità di controllo competente e, se necessario, comunicherà l'evento agli Utenti interessati senza ingiustificato ritardo, conformemente a quanto previsto dagli artt. 33 e 34 GDPR.

Responsabile della Protezione dei Dati (DPO)

Considerate le caratteristiche e le dimensioni del trattamento, il Titolare non rientra tra i soggetti obbligati a designare un Responsabile della Protezione dei Dati (Data Protection Officer) ai sensi dell'art. 37 GDPR. Pertanto, al momento non è stato nominato alcun DPO. Gli Utenti possono comunque indirizzare qualsiasi quesito o richiesta in materia di protezione dei dati personali direttamente al Titolare, utilizzando i recapiti forniti nella presente informativa (vedi sezione Titolare del Trattamento).

Modifiche a questa Informativa Privacy

La presente informativa potrebbe essere soggetta ad aggiornamenti o revisioni nel tempo, ad esempio in caso di modifiche delle funzionalità di Slance o di cambiamenti normativi. Eventuali variazioni significative che incidano sulle modalità di trattamento dei dati personali saranno comunicate agli Utenti attraverso i canali appropriati (ad esempio, pubblicando un avviso sul sito o inviando una notifica via email, ove opportuno). Si invita l'Utente a consultare periodicamente questa pagina per restare informato su eventuali aggiornamenti. La data di ultima modifica è indicata di seguito.

Data di ultimo aggiornamento: 15 aprile 2025.

Versione in Inglese / English Version

Note: This is an English translation of the Slance Privacy Policy provided for the convenience of non-Italian speaking users. In case of any discrepancy or conflict between this English version and the Italian version, the Italian version shall prevail as the legally binding document.

This Privacy Policy describes how personal data of users of the Slance web application (hereinafter the "Platform") are collected and processed. Slance (accessible at slance.xyz and slance.it) is developed and operated by ByteBiz di Christian Carpinelli. This policy is provided in accordance with Article 13 of EU Regulation 2016/679 (General Data Protection Regulation, GDPR) and applicable Italian data protection laws.

Data Controller

The Data Controller is ByteBiz di Christian Carpinelli (VAT No. IT03316450596), with registered office at Via Macchia Grande, 73, 04100 Latina (LT), Italy. For any privacy-related inquiries or to exercise your rights, you may contact the Data Controller via email at privacy@bytebiz.co.

Types of Personal Data Collected

Slance collects and processes various types of personal data provided directly by the user or generated through use of the service:

  • Google Account Data: Information provided by Google when the user logs into Slance using Google Sign-In. Specifically, Slance receives the user's display name (first and last name or nickname) and the email address associated with the user's Google account. This data is used to create and manage the user's account on Slance and to identify the user on the Platform.
  • Uploaded Images: Images that the user uploads to the Platform in order to use the AI transformation features. These images may contain personal data if, for example, they depict the user or other individuals, or include embedded metadata. Slance processes these images solely to perform the transformations requested by the user and to allow the user to access their image history.
  • Usage Data: Information collected automatically during browsing and use of Slance. This includes, for example, the user's IP address, the type and version of the browser and operating system, the dates and times of access, the pages visited and features used, a unique session identifier, and logs of actions taken on the account (e.g. image uploads, transformation requests, etc.). Such usage data are collected primarily for security purposes, to prevent misuse, and to gather aggregate statistics on service usage.
  • Analytics Data: Information about user interactions with the Platform collected via the PostHog analytics tool. This data may include, for instance, which features are used most frequently, navigation flows within the app, and other usage metrics. Analytics data is collected only if the user consents via the cookie banner, and is processed through a self-hosted instance of PostHog on servers located in the European Union. The analytics data is collected in pseudonymized or aggregated form (not directly identifying the user) and is used solely for statistical purposes and to improve the service.

Note: Slance does not perform any facial recognition, biometric identification, or automated profiling on the images uploaded. Images provided by the user are used only to generate the requested output (AI transformation) and are not used to identify individuals or extract biometric identifiers from any faces that may appear.

Purposes and Legal Basis for Processing

Slance processes users' personal data for the following purposes, in accordance with the legal bases provided by the GDPR:

  1. Provide the service and manage the account: Use account data (name, email) to allow the user to register and log in to Slance via Google, and to manage the user's account and credits for AI transformations. This includes enabling the user to use the Platform's features (upload images, request AI transformations, and view results). Legal basis: Performance of a contract to which the user is party (Art. 6(1)(b) GDPR), as this processing is necessary to deliver the requested service.
  2. Store and display image history: Retain the images uploaded by the user and the resulting transformed images on our servers, and make them accessible in the user's personal account area. This allows the user to review and re-use their past transformed images. Legal basis: The user's consent (Art. 6(1)(a) GDPR), expressed by voluntarily uploading images and using the history feature, and/or the Controller's legitimate interest (Art. 6(1)(f) GDPR) in providing a feature reasonably expected as part of the service. This interest has been balanced against the user's rights. The user retains control over their images and may request deletion at any time.
  3. Usage analysis and service improvement: Collect data on how Slance is used (via PostHog) to understand usage patterns and identify potential improvements, bug fixes, or optimizations to the user experience. For example, analytics can indicate which features are most popular or whether there are recurring issues. Legal basis: The user's explicit consent (Art. 6(1)(a) GDPR), given by accepting analytics cookies via the cookie banner.
  4. Technical functionality and abuse prevention: Monitor the correct technical functioning of Slance, protect the security of the Platform and users, and prevent misuse or illegal activities (e.g. unauthorized excessive use, hacking attempts, or use that violates the Terms of Service). This includes analyzing system logs, IP addresses, and other usage data to detect anomalies or violations. Legal basis: The Controller's legitimate interest (Art. 6(1)(f) GDPR) in ensuring the security, integrity, and availability of the service, which protects both the Controller's interests and those of the users. This interest is balanced against individuals' rights and has minimal impact on user privacy (as the data is used mainly for technical checks and not to make decisions about the user).
  5. Compliance with legal obligations: Process and retain personal data when necessary to comply with applicable laws or regulations, or to respond to lawful requests from authorities. Legal basis: Compliance with a legal obligation (Art. 6(1)(c) GDPR).

Slance does not use personal data for marketing purposes, sending newsletters, or commercial profiling. The email address provided during registration will be used only for communications related to the service (e.g. important notices about Slance's operation, technical or support messages) and will not be used to send unsolicited promotional content.

Note: When processing is based on the user's consent (e.g. for analytics data), the user has the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal. Withdrawal of consent may result in the Controller being unable to continue providing certain optional features (such as analytics), but will not affect the user's use of Slance's core services.

Data Recipients and International Transfers

Personal data collected through Slance are processed primarily by the Controller. In certain cases, to achieve the purposes described above, the Controller may share some data with third-party service providers, who will process data on the Controller's behalf as Data Processors (under Art. 28 GDPR), or, in specific instances, as independent data controllers. In particular, user data may be disclosed to the following categories of recipients:

  • Cloud infrastructure and hosting providers: Slance is hosted on servers and cloud services located within the European Union. The Controller uses third-party providers for web hosting, data storage, and IT infrastructure maintenance. These providers (e.g. hosting or cloud storage services) are appointed as Data Processors and are contractually obliged to comply with European data protection regulations.
  • Google (authentication): For the "Sign in with Google" feature, Slance interacts with Google (Google Ireland Ltd/Google LLC). When the user logs in with Google, Google shares certain account information (name, email) with Slance to authenticate the user. Google processes this data as an independent controller under its own privacy policy. Apart from this authentication process, Slance does not disclose the user's personal data to Google.
  • OpenAI (external AI service): Slance uses the OpenAI API to perform the image transformations requested by users. This means that uploaded images (and any data necessary for processing) are transmitted to OpenAI's servers operated by OpenAI, L.L.C. OpenAI acts as an external Data Processor on behalf of Slance, solely for the technical processing of images. The data sent to OpenAI is not used by OpenAI for its own purposes (in accordance with their API terms) but only to return the transformed image. Since OpenAI is based in the United States, this entails a transfer of data outside the European Union (see below regarding international transfers).
  • Analytics platform (PostHog): Analytics data collected with user consent is handled using the PostHog platform, which the Controller hosts on an EU server under its own control. PostHog, Inc. (the company providing the software) does not have direct access to this data, as the implementation is self-hosted. Therefore, usage data collected for analytics is not shared with any external third parties.
  • Authorized personnel and consultants: User data may be accessed, within the scope of their duties, by the Controller's collaborators or consultants (e.g. legal advisors, accountants, IT support) who are duly authorized and bound by confidentiality obligations. These parties will process data as individuals acting under the Controller's authority or, where applicable, as Data Processors.
  • Public authorities: If required by law or by valid legal process, the Controller may disclose user data to law enforcement or other government authorities in order to comply with legal obligations or to protect the Controller's rights in judicial proceedings.

International data transfers: The Controller endeavors to keep users' personal data within the European Economic Area. However, as highlighted above, the use of OpenAI's API involves transferring certain data (uploaded images and related information) to servers located in the United States. This transfer is conducted in compliance with Articles 44 et seq. of the GDPR. In the absence of an EU adequacy decision for the U.S., the Controller has put in place appropriate safeguards to protect the data: specifically, Standard Contractual Clauses (SCCs) approved by the European Commission under Art. 46(2)(c) GDPR have been executed with OpenAI. These SCCs ensure that the users' personal data receives a level of protection essentially equivalent to that in the EU, even when processed in the U.S. Where necessary, additional security measures have been implemented to bolster data protection during transfer. The user may request more information about the safeguards for international transfers (or a copy of the SCCs) by contacting the Controller.

Data Retention Period

Slance retains personal data only for as long as necessary to fulfill the purposes for which it was collected, or to comply with legal obligations. In general:

  • Account data (name, email): retained for as long as the user maintains an active account on Slance. If the user deletes their account or requests deletion, this data is removed from our systems within a reasonable timeframe.
  • Uploaded images and history: stored on the system as long as the user's account is active, to allow the user to access their personal history of images and results. The user can delete individual images from their account (if such functionality is available) or request their deletion at any time. In any case, when an account is closed or deleted, all images associated with that account and related data are permanently erased from our servers (subject to the backup note below).
  • Usage data (logs, technical records): retained for a limited period necessary to fulfill security and system maintenance purposes. Typically, such logs are kept for up to 12 months, after which they are securely deleted or anonymized, unless a longer retention is required to comply with a legal obligation or to protect the Controller's rights (for example, in the event of security incidents or misuse, relevant logs may be preserved longer to document the event).
  • Analytics data: data collected for statistics and service improvement is kept in aggregated or pseudonymized form. Any raw analytics data associated with identifiers (pseudonymous user IDs) is retained only for the time strictly necessary to analyze usage patterns and trends (generally no more than 12 months), after which it is deleted or anonymized. Aggregated results (which contain no personal identifiers) may be retained for a longer period.
  • Legal requirements: if data needs to be retained to meet legal or regulatory obligations, or pursuant to orders by authorities, it will be kept for the period mandated by those obligations.

After the relevant retention period expires, or upon the user's request for deletion, personal data will be securely deleted or irreversibly anonymized. Please note that for security and continuity purposes, the Controller's systems perform periodic backups of data: this means some information might remain in encrypted backup files for a short additional time beyond the stated retention periods before being automatically overwritten. In any case, such backup data is protected and accessible only to the Controller, and is deleted permanently within a reasonable period.

User Rights

Under the GDPR, users (as data subjects) have several rights regarding their personal data. In particular, you have the right to:

  • Access: obtain confirmation of whether or not your personal data is being processed, and if so, access your data and receive a copy of it (Art. 15 GDPR).
  • Rectification: request correction or updating of inaccurate or incomplete personal data concerning you (Art. 16 GDPR).
  • Erasure: have your personal data deleted in certain circumstances (for example, if the data is no longer necessary for the purposes for which it was collected, or if you withdraw consent and no other legal basis exists) – this is also known as the "right to be forgotten" (Art. 17 GDPR).
  • Restriction of processing: request that the Controller limit the processing of your personal data in certain cases (for instance, if you contest the accuracy of your data, for the time necessary to verify it; or if the processing is unlawful but you oppose deletion and request restriction instead) (Art. 18 GDPR).
  • Objection: object at any time, on grounds relating to your particular situation, to the processing of your personal data based on the Controller's legitimate interests (Art. 21 GDPR). The Controller will stop processing your data unless it demonstrates compelling legitimate grounds to continue that override your interests, or the data is needed for the establishment, exercise, or defense of legal claims.
  • Data portability: receive your personal data that you have provided to the Controller in a structured, commonly used, machine-readable format, and have the right to transmit those data to another controller, where technically feasible (Art. 20 GDPR). This right applies to data processed by automated means and based on your consent or on a contract.
  • Withdraw consent: withdraw any consent you have given at any time (for example, for analytics cookies), without affecting the lawfulness of processing based on consent before withdrawal.
  • Lodge a complaint: lodge a complaint with a supervisory authority, particularly in the EU country where you reside or work, or where an alleged infringement occurred. For instance, in Italy the relevant authority is the Garante per la Protezione dei Dati Personali (Italian Data Protection Authority).

To exercise your rights, you can contact the Controller at any time by emailing privacy@bytebiz.co. We will respond to your requests as soon as possible and in any event within the timeframes set by law (normally within 30 days, extendable in case of complex requests). Exercising your rights is free of charge, unless the requests are manifestly unfounded or excessive, in which case we may charge a reasonable fee or refuse to act, as permitted by Article 12 GDPR.

Use of Cookies and Analytics

The Slance platform uses cookies and similar tracking technologies to ensure the website functions properly and to improve the user experience. Such use is carried out in compliance with applicable laws (the EU ePrivacy Directive and its implementing Italian legislation, and the GDPR where applicable). In particular:

  • Necessary cookies: Slance uses strictly necessary technical cookies to provide the service requested by the user. For example, session cookies maintain the user's login status after authenticating via Google, and certain cookies may remember user preferences (such as language selection). These cookies are essential for the operation of the site and do not require user consent. Without them, some functionalities of Slance may not work correctly.
  • Analytics cookies: With the user's consent given through the cookie banner, Slance uses analytics cookies to collect aggregated statistical information on how the service is used. Specifically, cookies associated with the PostHog platform are employed, which allow Slance to track user interactions with the Platform in an aggregated and anonymous/pseudonymous manner (e.g. which pages are visited, which features are used most frequently, etc.). This data helps us understand and improve the service. The analytics cookies are set on Slance's own domain (first-party cookies), and data collected through them is not shared with external third parties. Users can choose not to accept these cookies or to withdraw their consent later without affecting the core service. Cookie preferences can be adjusted at any time via the cookie banner on the site or through your browser settings (which also allow you to delete or block cookies).
  • No profiling cookies: Slance does not use profiling cookies for advertising or marketing purposes. We do not conduct any tracking aimed at creating personalized user profiles or delivering targeted advertising.

For more information on our use of cookies and how to manage them, you can refer to the cookie banner or the cookie settings section on our website.

Security Measures

The Controller implements appropriate technical and organizational security measures to protect personal data processed through Slance, in accordance with Art. 32 GDPR. These measures are aimed at preventing risks such as loss, misuse, unauthorized access, disclosure, alteration, or destruction of data. Measures in place include, for example:

  • Encryption of communications between the user's device and Slance's servers using HTTPS (TLS) to prevent interception of data in transit.
  • Firewalls and intrusion monitoring systems to protect the server infrastructure.
  • Internal access controls, limiting access to personal data solely to the Controller and any authorized collaborators/service providers, only as necessary for maintenance and service provision.
  • Credential and permission management procedures to ensure that only authorized individuals can access sensitive information.
  • Data pseudonymization and minimization where possible (for instance, analytics data uses pseudonymous identifiers rather than directly identifying information).
  • Regular data backups stored in encrypted form to prevent data loss in case of technical issues.
  • Ongoing updates and security patching of systems and software to address vulnerabilities and adopt up-to-date security practices.

While no system can guarantee absolute security, the Controller is committed to maintaining a high level of data security and regularly reviewing and updating security measures in line with evolving threats and best practices. In the event of a personal data breach that is likely to result in a high risk to users' rights and freedoms, the Controller will notify the competent supervisory authority and, if required, the affected users without undue delay, in accordance with Articles 33 and 34 GDPR.

Data Protection Officer (DPO)

Given the nature and scale of the processing, the Controller is not obligated to appoint a Data Protection Officer under Art. 37 GDPR. Therefore, currently no DPO is appointed. Any questions or requests regarding data protection can be directed to the Controller using the contact information provided in this policy (see Data Controller section).

Changes to this Privacy Policy

This Privacy Policy may be updated or revised over time, for example if there are changes to Slance's features or to applicable laws. If any substantial changes affect how we process your personal data, we will notify users through appropriate channels (for instance, by posting a notice on the website or by email notification, where appropriate). We encourage you to review this page periodically to stay informed about any updates. The date of the latest revision is indicated below.

Last updated: April 15, 2025.