Privacy Statement

Last updated: March 2026  ·  Version 1.1  ·  Applies to citizens and legal permanent residents of the EEA, Switzerland, and the United Kingdom
We are committed to handling your personal data with the highest level of confidentiality and care, in line with the standards applied by public institutions and official authorities.

This Privacy Statement explains how Italian Roots Finder collects, uses, and protects your personal data when you use our services or visit italianrootsfinder.com. We comply with the EU General Data Protection Regulation (GDPR) 2016/679 and applicable data protection laws.

1. Data Controller

Data Controller: Moreno Brusauro, operating as Italian Roots Finder
Via Cornara 70, 30030 Pianiga (VE), Italy
Email: privacy@italianrootsfinder.com
Website: italianrootsfinder.com

No Data Protection Officer (DPO) has been appointed, as the processing does not fall within the cases requiring mandatory appointment under Art. 37 GDPR.

2. About Our Service

Italian Roots Finder is a professional genealogy research and document retrieval service. We retrieve official Italian civil records (birth, marriage, and death certificates) from Italian municipalities and state civil archives on behalf of clients — primarily individuals residing in the USA, Australia, Canada, and the United Kingdom — who are pursuing Italian citizenship by descent (jure sanguinis) or conducting family genealogy research.

3. Personal Data We Collect

3.1 Data you provide directly

  • Identity data: first name, last name
  • Contact data: email address, phone number (optional)
  • Geographic data: country and city of residence, preferred currency
  • Case data: name of Italian ancestor, municipality, approximate year, type of record requested, purpose (citizenship or genealogy research)
  • Identity documents: copy of your identity document (collected only at the mandate formalisation stage, required for the delegation to Italian municipalities)
  • Payment data: processed exclusively via Wise or PayPal; Italian Roots Finder does not collect or store credit card details or bank account information

3.2 Data collected automatically

The website collects technical data automatically via cookies and analytics tools (see Section 9), including IP address, browser type, pages visited, and visit duration.

4. Purposes and Legal Bases

PurposeLegal Basis (Art. 6 GDPR)Retention
Handling your contact request and quoteArt. 6(1)(b) — pre-contractual measures24 months if no contract is concluded
Performing the service contract (research and document retrieval)Art. 6(1)(b) — performance of contract10 years from case closure (tax obligations)
Sending PEC certified emails to Italian municipalities on your behalfArt. 6(1)(b) — performance of contract10 years from case closure
Billing and accounting obligationsArt. 6(1)(c) — legal obligation10 years (Italian tax law)
Operational communications (status updates, document requests)Art. 6(1)(b) — performance of contractDuration of case + 10 years
Handling complaints and disputesArt. 6(1)(f) — legitimate interest, carefully balanced against the fundamental rights and freedoms of users5 years from resolution
Anonymous aggregate service analysisArt. 6(1)(f) — legitimate interest, carefully balanced against the fundamental rights and freedoms of usersAnonymised — no limit
Marketing communications (newsletter)Art. 6(1)(a) — consentUntil consent is withdrawn

We do not intentionally process special categories of personal data as defined under Art. 9 GDPR (health data, racial or ethnic origin, religious beliefs, etc.). However, in the context of genealogy research, certain information provided by you may indirectly reveal such data (e.g. ethnic origin or family relationships). In such cases, data is processed solely for the purpose of providing the requested service and in accordance with applicable data protection laws. Please note that genealogical records relate primarily to deceased ancestors and are largely outside the personal scope of Art. 9 GDPR.

5. Recipients and Data Processors

5.1 Institutional recipients

  • Italian municipalities and Civil Registry Offices — recipients of the PEC certified emails sent on your behalf to retrieve the requested records
  • Italian tax and fiscal authorities — where required by law

5.2 Technology service providers (Data Processors under Art. 28 GDPR)

ProviderRoleLocationGDPR Safeguard
Anthropic PBCAI processing of requests and drafting of responsesUSADPA — Standard Contractual Clauses (SCC Module 2)
Supabase Inc.Database and data storageUSA (EU servers)DPA — SCC
Render Services Inc.Application backend hostingUSA (Frankfurt, DE)DPA — SCC
Aruba PEC S.p.A.Sending and receiving PEC certified emails to Italian municipalitiesItaly (EU)Subject to Italian law and GDPR
SupportHostWordPress website hostingItaly (servers in Germany, EU)Subject to Italian law and GDPR
Google LLCGoogle Analytics (website statistics), Google ReviewsUSADPA — SCC — EU–US Data Privacy Framework (DPF)
Meta Platforms Inc.Meta Pixel (advertising traffic analysis)USADPA — SCC — EU–US Data Privacy Framework (DPF)
Calendly LLCAppointment scheduling for delivery video callsUSADPA — SCC
Wise / PayPalPayment processingUK / USAIndependent data controllers. Users are encouraged to review their respective privacy policies.

5.3 Use of Artificial Intelligence

AI Processing Disclosure
Our service uses artificial intelligence systems provided by Anthropic PBC (Claude API) to process incoming requests, draft response emails, and classify communications. Before being transmitted to Anthropic, personal data is pseudonymised where possible (e.g. masking or replacing identifying details such as name and email address). Data sent to Anthropic is not used to train Anthropic's AI models, in accordance with the Data Processing Addendum in place.

AI systems are used solely as support tools and do not make automated decisions producing legal or similarly significant effects on users (Art. 22 GDPR). All decisions with legal or significant impact on your case are made by a human operator.

The updated list of Anthropic's sub-processors is available at anthropic.com/subprocessors.

6. International Data Transfers

Some providers listed in Section 5.2 are based in the United States (a third country with respect to the EU). Transfers of personal data to these providers are carried out in compliance with the safeguards required by Arts. 44–49 GDPR, specifically through the adoption of Standard Contractual Clauses (SCC) approved by the European Commission under Implementing Decision (EU) 2021/914 of 4 June 2021. Where applicable, certain providers may also rely on the EU–US Data Privacy Framework (DPF) as an additional legal basis for data transfers. Upon request, we will provide a copy of the safeguards adopted for each transfer.

7. Data Retention

  • Completed cases: data is retained for 10 years from case closure, in accordance with Italian tax and accounting obligations
  • Contact requests without a concluded contract: data is retained for 24 months from the date of contact
  • Website navigation data: retained for the periods set out in the Cookie Policy
  • Marketing data: retained until consent is withdrawn

Upon expiry of retention periods, personal data is permanently deleted or irreversibly anonymised.

8. Your Rights

Right of Access (Art. 15)Obtain confirmation of processing and receive a copy of your data.
Right to Rectification (Art. 16)Request correction of inaccurate or incomplete data.
Right to Erasure (Art. 17)Request deletion of your data ("right to be forgotten"), subject to legal retention obligations.
Right to Restriction (Art. 18)Request restriction of processing in certain circumstances.
Right to Data Portability (Art. 20)Receive your data in a structured, machine-readable format or request its transfer to another controller.
Right to Object (Art. 21)Object to processing based on legitimate interest, including direct marketing.
Right to Withdraw ConsentWithdraw consent at any time without affecting the lawfulness of prior processing.
Right to Lodge a ComplaintLodge a complaint with the Italian Data Protection Authority (Garante) or your local supervisory authority.

To exercise your rights, please contact us at privacy@italianrootsfinder.com. We will respond within 30 days, with a possible extension of 60 days for complex requests.

9. Cookies and Tracking Technologies

The website uses cookies and tracking technologies managed via the Complianz plugin. Non-essential cookies are blocked by default and are only activated after you have provided explicit consent through the cookie banner displayed on your first visit.

CategoryToolPurposeConsent required
Technical / FunctionalWordPress, ComplianzWebsite functionality, consent managementNo — strictly necessary
AnalyticsGoogle Analytics 4Aggregate website visit statisticsYes
Advertising / TrackingMeta PixelMeasuring advertising campaign effectivenessYes
Reviews widgetGoogle ReviewsDisplaying client reviewsYes (external widget)

You can modify or withdraw your cookie consent at any time via the cookie management panel in the footer of the website. For details on specific cookies used, please refer to our Cookie Policy.

Moreno Brusauro participates in the IAB Europe Transparency & Consent Framework and complies with its Specifications and Policies. Consent Management Platform ID: 332.

10. Minors

Our service is intended exclusively for adults (18 years of age or older). We do not knowingly collect personal data from minors. If we become aware of any inadvertent processing of a minor's data, we will delete it immediately.

11. Security

  • Encryption of data in transit (TLS 1.2+) and at rest (AES-256)
  • Secure authentication and access limited to authorised personnel
  • File storage on private storage with time-limited signed URLs
  • Pseudonymisation of personal data before transmission to AI systems
  • Data stored on EU-based servers (Germany)
  • Regular backups and recovery procedures

In the event of a personal data breach posing risks to your rights and freedoms, we will notify the Italian Garante within 72 hours of discovery and affected individuals without undue delay, in accordance with Arts. 33–34 GDPR.

12. Third-Party Websites

This Privacy Statement does not apply to third-party websites linked from our website. We cannot guarantee that those third parties handle your personal data reliably or securely. We recommend reading their privacy statements before using those websites.

13. Amendments

We reserve the right to amend this Privacy Statement at any time to reflect legal or operational changes. Material changes will be communicated via a notice on the website or by email. We recommend consulting this page periodically.

14. Contact Details and Data Requests

Italian Roots Finder — Moreno Brusauro
Via Cornara 70, 30030 Pianiga (VE), Italy
Email: privacy@italianrootsfinder.com
Website: italianrootsfinder.com

Competent supervisory authority:
Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma — garanteprivacy.it

Informativa sul Trattamento dei Dati Personali

Ultimo aggiornamento: Marzo 2026  ·  Versione 1.1  ·  Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
Ci impegniamo a trattare i dati personali degli utenti con il massimo livello di riservatezza e cura, in linea con gli standard adottati dalle istituzioni pubbliche e dalle autorità ufficiali.

La presente informativa descrive come Italian Roots Finder raccoglie, utilizza e protegge i dati personali degli utenti che utilizzano i nostri servizi o visitano italianrootsfinder.com.

1. Identità e Dati di Contatto del Titolare

Titolare del Trattamento: Moreno Brusauro, operante come Italian Roots Finder
Via Cornara 70, 30030 Pianiga (VE), Italia
Email: privacy@italianrootsfinder.com
Sito web: italianrootsfinder.com

Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto il trattamento non rientra nelle fattispecie di cui all'art. 37 GDPR.

2. Descrizione del Servizio

Italian Roots Finder è un servizio professionale di ricerca genealogica e recupero di documenti anagrafici italiani (atti di nascita, matrimonio, morte) presso i Comuni italiani e gli archivi di stato civile, rivolto principalmente a persone residenti in USA, Australia, Canada e Regno Unito che intendono richiedere la cittadinanza italiana per discendenza (jure sanguinis) o condurre ricerche genealogiche.

3. Categorie di Dati Personali Trattati

3.1 Dati forniti dall'interessato

  • Dati anagrafici: nome, cognome
  • Dati di contatto: indirizzo email, numero di telefono (facoltativo)
  • Dati geografici: paese e città di residenza, valuta preferita
  • Dati relativi alla pratica: nome dell'antenato italiano, comune, anno approssimativo, tipo di atto, finalità (cittadinanza o ricerca genealogica)
  • Documenti di identità: copia del documento di identità (raccolta solo nella fase di formalizzazione del mandato, necessaria per la delega ai Comuni)
  • Dati di pagamento: gestiti esclusivamente tramite Wise o PayPal; Italian Roots Finder non raccoglie né conserva dati di carte di credito o coordinate bancarie

3.2 Dati raccolti automaticamente

Il sito raccoglie automaticamente dati tecnici tramite cookie e strumenti di analisi (vedi sezione 9), tra cui indirizzo IP, tipo di browser, pagine visitate e durata della visita.

4. Finalità e Basi Giuridiche del Trattamento

FinalitàBase giuridica (art. 6 GDPR)Conservazione
Gestione della richiesta di contatto e preventivoArt. 6(1)(b) — misure precontrattuali24 mesi se non si conclude un contratto
Esecuzione del contratto di servizioArt. 6(1)(b) — esecuzione del contratto10 anni dalla chiusura della pratica
Invio di PEC ai Comuni italiani per conto dell'interessatoArt. 6(1)(b) — esecuzione del contratto10 anni dalla chiusura della pratica
Fatturazione e obblighi contabili e fiscaliArt. 6(1)(c) — obbligo legale10 anni (D.P.R. 600/1973)
Comunicazioni operative (aggiornamenti di stato, richiesta documenti)Art. 6(1)(b) — esecuzione del contrattoDurata pratica + 10 anni
Gestione reclami e controversieArt. 6(1)(f) — legittimo interesse, attentamente bilanciato rispetto ai diritti fondamentali degli interessati5 anni dalla definizione
Analisi aggregate anonime del servizioArt. 6(1)(f) — legittimo interesse, attentamente bilanciato rispetto ai diritti fondamentali degli interessatiDati anonimizzati — nessun limite
Marketing diretto (newsletter)Art. 6(1)(a) — consensoFino alla revoca del consenso

Non trattiamo intenzionalmente categorie particolari di dati personali ai sensi dell'art. 9 GDPR. Tuttavia, nel contesto della ricerca genealogica, alcune informazioni fornite dall'utente potrebbero rivelare indirettamente tali dati (ad es. origine etnica o relazioni familiari). In tali casi, i dati sono trattati esclusivamente per fornire il servizio richiesto e nel rispetto della normativa applicabile. Si precisa che i dati genealogici riguardano principalmente antenati deceduti e ricadono in larga parte al di fuori dell'ambito personale dell'art. 9 GDPR.

5. Destinatari e Responsabili del Trattamento

5.1 Soggetti istituzionali

  • Comuni italiani e Uffici di Stato Civile — destinatari delle PEC inviate per conto dell'interessato
  • Autorità fiscali e tributarie italiane — nei casi previsti dalla legge

5.2 Fornitori di servizi tecnologici (Responsabili del Trattamento ex art. 28 GDPR)

FornitoreRuoloSedeGaranzie GDPR
Anthropic PBCElaborazione AI delle richieste e generazione bozze di rispostaUSADPA — Standard Contractual Clauses (SCC Module 2)
Supabase Inc.Database e archiviazione dati del servizioUSA (server EU)DPA — SCC
Render Services Inc.Hosting backend applicativoUSA (Francoforte, DE)DPA — SCC
Aruba PEC S.p.A.Invio e ricezione PEC verso i Comuni italianiItalia (UE)Normativa italiana e GDPR
SupportHostHosting sito web WordPressItalia (server Germania, DE)Normativa italiana e GDPR
Google LLCGoogle Analytics, Google ReviewsUSADPA — SCC — EU–US Data Privacy Framework (DPF)
Meta Platforms Inc.Meta Pixel (analisi traffico pubblicitario)USADPA — SCC — EU–US Data Privacy Framework (DPF)
Calendly LLCGestione appuntamenti videocallUSADPA — SCC
Wise / PayPalGestione pagamentiUK/USATitolari autonomi del trattamento. Si invita l'utente a consultare le rispettive informative privacy per comprendere come vengono trattati i dati personali.

5.3 Utilizzo dell'intelligenza artificiale

Informativa sull'elaborazione AI
Il servizio utilizza sistemi di intelligenza artificiale forniti da Anthropic PBC (Claude API) per elaborare le richieste degli utenti, generare bozze di risposta e classificare le comunicazioni in arrivo. Prima di essere trasmessi ad Anthropic, i dati personali vengono pseudonimizzati ove possibile (ad es. mascheratura o sostituzione di nome e indirizzo email). I dati inviati ad Anthropic non vengono utilizzati per addestrare i modelli AI, in conformità con il Data Processing Addendum sottoscritto.

I sistemi AI sono utilizzati esclusivamente come strumenti di supporto e non adottano decisioni automatizzate che producano effetti giuridici o analoghi effetti significativi sugli utenti (art. 22 GDPR). Tutte le decisioni con impatto rilevante sulla pratica sono prese da un operatore umano.

L'elenco aggiornato dei sub-responsabili di Anthropic è disponibile su anthropic.com/subprocessors.

6. Trasferimenti verso Paesi Terzi

Alcuni fornitori elencati nella sezione 5.2 hanno sede negli Stati Uniti d'America. I trasferimenti di dati personali verso questi fornitori sono effettuati mediante le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione (UE) 2021/914 del 4 giugno 2021. Ove applicabile, alcuni fornitori possono avvalersi anche del Quadro EU–US per la Privacy dei Dati (EU–US Data Privacy Framework — DPF) come ulteriore base giuridica per i trasferimenti. Su richiesta, il Titolare fornisce copia delle garanzie adottate.

7. Periodo di Conservazione dei Dati

  • Pratiche completate: 10 anni dalla chiusura della pratica
  • Richieste di contatto senza contratto concluso: 24 mesi dalla richiesta
  • Dati di navigazione: secondo i periodi indicati nella Cookie Policy
  • Dati per marketing: fino alla revoca del consenso

8. Diritti degli Interessati

Diritto di accesso (art. 15)Ottenere conferma del trattamento e copia dei propri dati.
Diritto di rettifica (art. 16)Richiedere la correzione di dati inesatti o incompleti.
Diritto alla cancellazione (art. 17)Richiedere la cancellazione dei propri dati ("diritto all'oblio").
Diritto di limitazione (art. 18)Richiedere la limitazione del trattamento in determinati casi.
Diritto alla portabilità (art. 20)Ricevere i propri dati in formato strutturato leggibile da dispositivo automatico.
Diritto di opposizione (art. 21)Opporsi al trattamento basato sul legittimo interesse, incluso il marketing.
Revoca del consensoRevocare in qualsiasi momento il consenso prestato.
Diritto di reclamoProporre reclamo al Garante per la protezione dei dati personali.

Per esercitare i propri diritti: privacy@italianrootsfinder.com. Risposta entro 30 giorni, con possibile proroga di 60 giorni per richieste complesse.

9. Cookie e Tecnologie di Tracciamento

Il sito utilizza cookie gestiti tramite Complianz. I cookie non essenziali sono bloccati per impostazione predefinita e vengono attivati solo dopo che l'utente ha fornito il proprio consenso esplicito tramite il banner cookie visualizzato alla prima visita.

CategoriaStrumentoFinalitàConsenso
Tecnici / FunzionaliWordPress, ComplianzFunzionamento del sito, gestione consenso cookieNo — necessari
AnaliticiGoogle Analytics 4Statistiche aggregate sulle visite
Pubblicitari / TracciamentoMeta PixelMisurazione efficacia campagne pubblicitarie
RecensioniGoogle ReviewsVisualizzazione recensioni clientiSì (widget esterno)

Moreno Brusauro partecipa al framework IAB Europe Transparency & Consent e ne rispetta le Specifiche e Politiche. ID piattaforma CMP: 332.

È possibile modificare o revocare il consenso ai cookie in qualsiasi momento tramite il pannello di gestione cookie nel footer del sito. Per maggiori dettagli: Cookie Policy.

10. Minori

Il servizio è destinato esclusivamente a persone maggiorenni (18 anni o più). Non raccogliamo consapevolmente dati personali di minori.

11. Misure di Sicurezza

  • Crittografia dei dati in transito (TLS 1.2+) e a riposo (AES-256)
  • Autenticazione sicura e accesso limitato al personale autorizzato
  • Archiviazione dei file su storage privato con URL firmati a scadenza
  • Pseudonimizzazione dei dati personali prima dell'invio a sistemi AI
  • Conservazione dei dati su server localizzati nell'Unione Europea (Germania)
  • Backup regolari e procedure di ripristino

12. Siti Web di Terze Parti

La presente informativa non si applica ai siti web di terze parti collegati tramite link sul nostro sito. Si raccomanda di leggere le relative informative prima di utilizzarli.

13. Modifiche alla Presente Informativa

Il Titolare si riserva il diritto di modificare la presente informativa. Le modifiche sostanziali saranno comunicate tramite avviso sul sito o via email.

14. Contatti e Richieste

Italian Roots Finder — Moreno Brusauro
Via Cornara 70, 30030 Pianiga (VE), Italia
Email: privacy@italianrootsfinder.com
Sito web: italianrootsfinder.com

Autorità di controllo competente:
Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma — garanteprivacy.it
Italian Roots Finder · Privacy Statement / Informativa Privacy · Version 1.1 · March 2026
Start Your Free Search
Scroll to Top