Loading...

Privacy Policy | MagicMetrics

  • Home
  • Privacy Policy | MagicMetrics

Informativa sulla Privacy

MagicMetrics S.r.l.s. – Via di Salviano 567/C – 57124 – Livorno (LI) – Italia
P.IVA: 02099470490
DPO: Michele Pisani – privacy@magicmetrics.ai
Ultimo aggiornamento: Maggio 2026

1. Chi siamo

MagicMetrics S.r.l.s. ("MagicMetrics", "noi") sviluppa e gestisce Magic Reports, un addon per Google Sheets che consente di recuperare e visualizzare dati provenienti da fonti analitiche collegate. La presente Informativa descrive quali dati personali raccogliamo, come li utilizziamo e quali diritti hai ai sensi del Regolamento (UE) 2016/679 ("GDPR").

2. Dati che raccogliamo

2.1 Dati di account: indirizzo email; nome e cognome (se forniti); password in forma cifrata (algoritmo bcrypt).

2.2 Dati di fatturazione: nome o ragione sociale, indirizzo, P.IVA o codice fiscale. I dati della carta di credito non transitano né vengono archiviati sui nostri server: sono gestiti esclusivamente da Stripe Inc. (PCI-DSS).

2.3 Token di accesso OAuth. MagicMetrics gestisce i token OAuth in modo differenziato a seconda del connettore.

Connettori diretti (GA4, Google Search Console, Google AdSense, YouTube Analytics): il token OAuth transita dai server di MagicMetrics esclusivamente al momento dell'autorizzazione iniziale della connessione. Successivamente viene conservato in forma cifrata esclusivamente per consentire il rinnovo automatico (refresh) senza richiedere una nuova autorizzazione manuale. Le chiamate API verso le fonti dati avvengono direttamente tra Google Sheets dell'utente e i server Google: i dati analitici non transitano mai sui server di MagicMetrics.

Connettori server-side (Google Ads e connettori che richiedono credenziali riservate): il token OAuth e le credenziali necessarie sono conservati in forma cifrata nel nostro database per tutta la durata della connessione attiva. Le chiamate API transitano dai server di MagicMetrics che agisce come proxy autenticato. I dati vengono elaborati esclusivamente in memoria volatile per il tempo tecnico della risposta e non vengono mai archiviati.

In entrambi i casi, l'utente può revocare l'accesso in qualsiasi momento dalla dashboard o direttamente dal pannello di sicurezza Google.

Cifratura in transito: tutte le comunicazioni tra Google Sheets, i server di MagicMetrics e le API di Google avvengono esclusivamente tramite protocollo HTTPS/TLS.

Misure di cifratura: i token OAuth e gli indirizzi email associati vengono cifrati a livello applicativo tramite l'algoritmo XSalsa20-Poly1305 (libreria Sodium), con un nonce univoco generato per ogni record, prima di essere memorizzati nel database. Per consentire operazioni di ricerca senza dover decrittare i dati, viene inoltre generato un indice cieco ("blind index") basato su HMAC-SHA256 con chiave dedicata: un valore univoco, non reversibile e dipendente dalla chiave, utilizzato esclusivamente per il confronto interno, che non permette di risalire all'email originale senza la chiave di cifratura. Questa cifratura si aggiunge alla cifratura di storage nativa offerta da Google Cloud SQL.

2.4 Metadati delle connessioni: per ogni connessione autorizzata conserviamo indirizzo email dell'account collegato, identificatore univoco della connessione, tipo di connettore, data di autorizzazione.

2.5 Dati di utilizzo: registriamo il contatore delle esecuzioni per account ai fini della verifica dei limiti del piano. Non registriamo il contenuto dei report né i dati analitici recuperati.

2.6 Log tecnici: indirizzi IP, timestamp, codici di risposta HTTP. Conservati per un massimo di 30 giorni a fini di sicurezza e monitoraggio.

3. Dati analitici delle fonti collegate

Connettori diretti (GA4, Search Console, AdSense, YouTube): i dati analitici non transitano in alcun modo sui server di MagicMetrics. Il flusso è il seguente: Google Sheets ottiene il token dal server MagicMetrics, poi chiama direttamente le API Google. I dati viaggiano da Google a Google Sheets senza passare per MagicMetrics. MagicMetrics non vede, non processa e non archivia tali dati in nessuna forma.

Connettori server-side (Google Ads): i dati transitano in memoria volatile sui server di MagicMetrics per il solo tempo tecnico necessario alla risposta. Non vengono mai scritti su disco né archiviati in database.

In entrambi i casi, l'elaborazione, l'aggregazione e la visualizzazione dei dati avviene interamente in Google Sheets, sotto il controllo esclusivo dell'utente e soggetta alle policy di Google.

4. Basi giuridiche e finalità del trattamento

Erogazione del Servizio: esecuzione del contratto (art. 6.1.b GDPR).
Gestione account e autenticazione: esecuzione del contratto (art. 6.1.b GDPR).
Fatturazione e adempimenti fiscali: obbligo legale (art. 6.1.c GDPR).
Sicurezza e prevenzione delle frodi: legittimo interesse (art. 6.1.f GDPR).
Comunicazioni di servizio: esecuzione del contratto (art. 6.1.b GDPR).
Comunicazioni promozionali: consenso (art. 6.1.a GDPR).

Non utilizziamo i dati per profilazione, pubblicità comportamentale o finalità diverse da quelle indicate.

5. Condivisione dei dati

Non vendiamo né cediamo i tuoi dati personali a terzi per finalità commerciali. Condividiamo i dati esclusivamente con: Stripe Inc. (elaborazione pagamenti, USA, garanzie: SCC, PCI-DSS); Google Cloud Platform (hosting infrastruttura, UE, garanzie: SCC, ISO 27001); Google LLC (API fonti dati, USA, garanzie: SCC).

6. Trasferimenti internazionali

I server di MagicMetrics sono fisicamente localizzati in Italia (Milano), all'interno dell'Unione Europea. I trasferimenti verso Paesi terzi avvengono esclusivamente tramite Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea ai sensi dell'art. 46 GDPR.

7. Conservazione dei dati

Dati di account: durata del rapporto + 2 anni.
Dati di fatturazione: 10 anni (obbligo fiscale italiano).
Token OAuth: durata della connessione attiva.
Metadati connessioni: durata del rapporto + 2 anni.
Log tecnici: 30 giorni.
Dati analitici: non archiviati.
Configurazione account post-Trial inattivo: 90 giorni.

8. I tuoi diritti

Ai sensi del GDPR hai diritto di: Accesso (art. 15) — ottenere conferma del trattamento e copia dei tuoi dati; Rettifica (art. 16) — correggere dati inesatti o incompleti; Cancellazione (art. 17) — ottenere la cancellazione ("diritto all'oblio"); Limitazione (art. 18) — limitare il trattamento in determinati casi; Portabilità (art. 20) — ricevere i dati in formato strutturato e leggibile; Opposizione (art. 21) — opporti al trattamento basato su legittimo interesse; Revoca del consenso — revocare in qualsiasi momento il consenso prestato, senza pregiudizio per la liceità del trattamento precedente.

Per esercitare i tuoi diritti: privacy@magicmetrics.ai. Risponderemo entro 30 giorni, prorogabili di ulteriori 60 giorni in casi di particolare complessità. Hai il diritto di proporre reclamo al Garante per la protezione dei dati personali: garanteprivacy.it.

9. Violazioni di sicurezza dei dati (Data Breach)

In caso di violazione della sicurezza che comporti un rischio per i diritti e le libertà degli interessati, MagicMetrics notifica l'Autorità Garante per la protezione dei dati personali entro 72 ore dalla scoperta della violazione, ai sensi dell'art. 33 GDPR. Qualora la violazione comporti un rischio elevato per i diritti degli interessati, gli utenti coinvolti verranno informati senza ingiustificato ritardo via email, ai sensi dell'art. 34 GDPR.

10. Minori

Il Servizio non è destinato a persone di età inferiore ai 18 anni. Non raccogliamo consapevolmente dati di minori. Se ritieni che un minore abbia creato un account, contattaci a privacy@magicmetrics.ai.

11. Cookie

Per la gestione dei cookie consulta la Cookie Policy disponibile su magicmetrics.ai/cookie-policy.

12. Modifiche alla presente Informativa

Le modifiche sostanziali vengono comunicate via email con almeno 30 giorni di preavviso. La versione aggiornata è sempre disponibile su magicmetrics.ai/privacy-policy con indicazione della data di aggiornamento.

13. "Magic Reports" Spreadsheet addon: Permessi di accesso e utilizzo dei dati

Magic Reports richiede alcuni permessi di accesso a Google per funzionare correttamente. Di seguito sono elencati tutti gli ambiti di autorizzazione richiesti e la spiegazione di come vengono utilizzati.

Magic Reports accede solo ai dati strettamente necessari per erogare il servizio. Nessun dato viene condiviso con terze parti a fini commerciali o pubblicitari. I dati recuperati dalle piattaforme collegate (es. Google Ads, Meta, GA4) vengono scritti direttamente nel foglio Google dell'utente e non vengono memorizzati sui nostri server. Magic Reports conserva esclusivamente token di accesso cifrati, necessari per autenticare le richieste verso le piattaforme collegate per conto dell'utente. Tali token non vengono mai condivisi con terze parti.

Permesso Utilizzo
Google Sheets (spreadsheets.currentonly) Leggere e scrivere dati nel foglio Google attivo per inserire i report richiesti dall'utente.
Richieste esterne (script.external_request) Effettuare chiamate alle API delle piattaforme collegate (es. Google Ads, Meta Ads, GA4) per recuperare i dati di reportistica.
Interfaccia utente (script.container.ui) Visualizzare il pannello laterale e i menu di Magic Reports all'interno di Google Sheets.
Email utente e profilo (userinfo.email, userinfo.profile, openid) Identificare l'utente per gestire la sessione e associare le connessioni al suo account Magic Reports.
Invio email (gmail.send) Inviare il report via email all'indirizzo specificato dall'utente nel configuratore del report, per conto dell'utente stesso.
Trigger e automazioni (script.scriptapp) Creare e gestire i trigger per l'aggiornamento automatico e schedulato dei report.
Google Analytics (analytics.readonly) Recuperare i dati di report di Google Analytics 4 (dimensioni e metriche selezionate dall'utente) per popolare i report nel foglio Google. Nessuna configurazione di Analytics viene modificata.
Google Ads (adwords) Recuperare i dati di rendimento delle campagne Google Ads esclusivamente a fini di reportistica. L'API Google Ads non offre un ambito di sola lettura più ristretto; Magic Reports non crea, modifica né elimina mai campagne o impostazioni dell'account Ads.
YouTube (youtube.readonly) Recuperare i metadati di canali e video (titoli, ID) per popolare il selettore delle fonti utilizzato per configurare i report YouTube.
YouTube Analytics (yt-analytics.readonly) Recuperare le metriche di rendimento di YouTube Analytics (visualizzazioni, tempo di visualizzazione, coinvolgimento) a fini di reportistica. I dati economici/di guadagno non vengono mai acceduti.
Search Console (webmasters.readonly) Recuperare i dati di rendimento di Search Console (query, clic, impressioni, posizione) per i siti verificati di proprietà dell'utente, esclusivamente a fini di reportistica.
AdSense (adsense.readonly) Recuperare i dati di guadagno e rendimento di AdSense esclusivamente a fini di reportistica. Nessuna impostazione dell'account AdSense viene modificata.

Il tool di reportistica che funziona davvero, e lo ha sempre fatto.

Ogni connettore include 14 giorni di prova gratuita. Nessuna carta di credito, nessun rinnovo automatico. Provalo con calma.