#1. Titolare del Trattamento
Il Titolare del Trattamento dei dati personali è [RAGIONE_SOCIALE], con sede legale in [SEDE_LEGALE], Estonia, P.IVA/VAT Number: [P.IVA].
Per qualsiasi questione relativa al trattamento dei tuoi dati personali, puoi contattarci all'indirizzo email: privacy@lagente.ai
Ai sensi del GDPR, non è obbligatoria la nomina di un Data Protection Officer (DPO) per le nostre attività di trattamento. Rimaniamo comunque a disposizione per qualsiasi richiesta all'indirizzo sopra indicato.
#2. Categorie di Dati Trattati
Nell'erogazione del servizio L'Agente, trattiamo le seguenti categorie di dati:
- Dati identificativi: nome, cognome, indirizzo email, numero di telefono WhatsApp, Partita IVA, ragione sociale.
- Dati operativi: messaggi WhatsApp inviati e ricevuti tramite il servizio, appuntamenti in calendario, fatture e documenti fiscali, dati di spesa e ricavi.
- Dati dei clienti finali dell'utente: i dati dei tuoi clienti che l'Agente gestisce per tuo conto (nomi, contatti, appuntamenti). L'Agente tratta questi dati in qualità di Responsabile del Trattamento (vedi Sezione 8).
- Dati di pagamento: gestiti direttamente da Stripe Inc. L'Agente non ha accesso ai dati delle tue carte di credito o conti bancari.
- Dati tecnici: indirizzo IP, log di accesso, dati di sessione gestiti da Clerk Inc., informazioni sul dispositivo e browser.
#3. Finalità e Basi Giuridiche
| Finalità | Base giuridica GDPR | Dettaglio |
|---|---|---|
| Erogazione del servizio | Art. 6.1.b — Esecuzione del contratto | Gestione account, WhatsApp, calendario, fatture |
| Fatturazione e obblighi contabili | Art. 6.1.c — Obbligo legale | Conservazione dati fiscali per 10 anni |
| Miglioramento del servizio AI | Art. 6.1.f — Legittimo interesse (con opt-out) | Analisi aggregata e anonima delle interazioni. Puoi opporti scrivendo a privacy@lagente.ai |
| Comunicazioni commerciali | Art. 6.1.a — Consenso | Solo se hai dato consenso esplicito in fase di registrazione |
#4. Trattamento tramite Intelligenza Artificiale
L'Agente utilizza modelli di intelligenza artificiale per elaborare i tuoi dati e fornirti risposte intelligenti su WhatsApp e in app.
Pseudonimizzazione: prima di inviare qualsiasi dato al motore AI, tutti i dati identificativi personali (nomi, numeri di telefono, indirizzi email, P.IVA) vengono sostituiti con identificatori anonimi. I modelli AI non ricevono mai dati personali in chiaro.
No addestramento sui tuoi dati: Anthropic PBC, il fornitore del modello AI, non utilizza i dati inviati tramite API per addestrare i propri modelli. Questo è garantito dal Data Processing Agreement attivo tra L'Agente e Anthropic.
Output AI: le risposte generate dall'AI sono strumenti di supporto operativo. Non costituiscono consulenza professionale di natura legale, fiscale o finanziaria.
#5. Sub-Responsabili del Trattamento
Per erogare il servizio, L'Agente si avvale dei seguenti sub-responsabili del trattamento. Tutti i trasferimenti di dati verso paesi extra-UE (USA) sono coperti da Standard Contractual Clauses (SCC) approvate dalla Commissione Europea.
| Provider | Paese | Finalità | Informativa Privacy |
|---|---|---|---|
| Anthropic PBC | USA | Elaborazione AI (dati pseudonimizzati) | anthropic.com/privacy |
| Twilio Inc. | USA | WhatsApp Business API — invio/ricezione messaggi | twilio.com/legal/privacy |
| Stripe Inc. | USA | Pagamenti e gestione abbonamenti | stripe.com/privacy |
| Clerk Inc. | USA | Autenticazione e gestione account | clerk.com/privacy |
| Railway Corp. | USA | Hosting e infrastruttura cloud | railway.app/legal/privacy |
#6. Tempi di Conservazione
| Categoria di dati | Periodo di conservazione | Motivazione |
|---|---|---|
| Dati account e profilo | Durata del contratto + 10 anni | Obbligo di conservazione fiscale |
| Messaggi WhatsApp e comunicazioni | 12 mesi dalla ricezione (rolling) | Necessità operativa del servizio |
| Fatture e documenti fiscali | 10 anni dalla data del documento | Art. 2220 c.c. e normativa fiscale italiana |
| Log di utilizzo del servizio | 12 mesi | Sicurezza, debug, analisi aggregate |
| Sessioni demo anonime | 30 giorni | Privacy by design — nessuna conservazione prolungata |
| Lead e liste d'attesa | 180 giorni | Legittimo interesse — follow-up commerciale limitato |
| Token di accesso portal cliente | 7 giorni dopo la scadenza | Cancellazione automatica post-scadenza |
| Dati di pagamento | Gestiti da Stripe secondo le loro policy | Stripe è titolare autonomo per i dati di pagamento |
Alla cancellazione dell'account, i dati vengono conservati per 30 giorni (periodo di grazia per eventuale reattivazione), dopodiché sono cancellati in modo permanente e irreversibile da tutti i sistemi, fatta eccezione per i dati soggetti a obblighi legali di conservazione. La cancellazione è automatica e non richiede azione da parte tua.
#7. Misure di Sicurezza Tecniche e Organizzative
Ai sensi dell'art. 32 GDPR, L'Agente ha implementato le seguenti misure tecniche e organizzative per proteggere i tuoi dati:
- Isolamento multi-tenant a livello database: Row-Level Security (RLS) PostgreSQL garantisce che ogni account acceda esclusivamente ai propri dati — impossibile accedere ai dati di altri utenti anche in caso di bug applicativi.
- Cifratura dei dati sensibili: le credenziali OAuth (Google Calendar, Gmail, PEC) sono cifrate con algoritmo Fernet (AES-128-CBC + HMAC-SHA256) prima di essere salvate nel database. Le chiavi di cifratura non sono mai salvate nel database.
- Autenticazione verificata crittograficamente: tutti i JWT di autenticazione vengono verificati tramite firma RS256 (JWKS endpoint Clerk) — è impossibile forgiare token di accesso senza la chiave privata di Clerk.
- Pseudonimizzazione prima dell'AI: tutti i dati personali identificativi (nomi, telefoni, email, P.IVA) vengono sostituiti con identificatori anonimi prima di essere inviati al motore AI. Il modello AI non riceve mai dati personali in chiaro.
- Security headers OWASP: tutte le risposte HTTP includono header di sicurezza standard (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy) per proteggerti da attacchi XSS, clickjacking e altri vettori browser.
- Rate limiting: gli endpoint pubblici sono protetti da rate limiting basato su IP per prevenire abusi e attacchi di forza bruta.
- Nessuna password nel codice sorgente: tutte le credenziali sono gestite tramite variabili d'ambiente e mai committate nel codice. Il codice sorgente non contiene segreti.
- Container non privilegiati: l'infrastruttura cloud gira con utenti non-root, limitando il potenziale impatto in caso di vulnerabilità applicative.
L'Agente esegue audit di sicurezza interni ad ogni sprint di sviluppo. Le vulnerabilità critiche vengono risolte entro 24 ore dalla scoperta. Puoi segnalare vulnerabilità di sicurezza a security@lagente.ai.
#8. Diritti dell'Interessato
Ai sensi degli artt. 15-22 del GDPR, hai il diritto di:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei tuoi dati.
- Rettifica (art. 16): correggere dati inesatti o incompleti.
- Cancellazione (art. 17): richiedere la cancellazione dei tuoi dati ("diritto all'oblio"), salvo obblighi legali.
- Limitazione (art. 18): limitare il trattamento in determinati casi.
- Portabilità (art. 20): ricevere i tuoi dati in formato strutturato e leggibile da macchina. Disponibile automaticamente dalla sezione Profilo → Esporta dati del tuo dashboard — il download è immediato in formato JSON.
- Opposizione (art. 21): opporti al trattamento basato su legittimo interesse.
Per esercitare i tuoi diritti, scrivi a privacy@lagente.ai. Risponderemo entro 30 giorni dalla ricezione della richiesta.
Hai il diritto di proporre reclamo all'autorità di controllo competente. L'autorità principale è l'AKI (Andmekaitse Inspektsioon — autorità estone per la protezione dei dati, aki.ee). Gli utenti italiani possono inoltre rivolgersi al Garante per la Protezione dei Dati Personali (garanteprivacy.it).
#9. L'Agente come Responsabile del Trattamento
Quando utilizzi L'Agente per gestire i dati dei tuoi clienti finali (ad esempio: nomi e contatti dei tuoi clienti, appuntamenti prenotati, messaggi scambiati), tu sei il Titolare del Trattamento di quei dati, e L'Agente agisce in qualità di Responsabile del Trattamento ai sensi dell'art. 28 GDPR.
Accettando le Condizioni Generali di Servizio, si conclude tra te e L'Agente un accordo di trattamento dei dati (Data Processing Agreement — DPA) con i seguenti impegni principali di L'Agente:
- Trattare i dati dei tuoi clienti solo su tua istruzione e per le finalità del servizio.
- Garantire la riservatezza dei dati tramite misure tecniche e organizzative adeguate.
- Non trasferire i dati dei tuoi clienti a terzi salvo i sub-processor elencati nella Sezione 5.
- Assisterti nell'esercizio dei diritti dei tuoi interessati (accesso, cancellazione, ecc.).
- Cancellare o restituire tutti i dati alla cessazione del contratto.
- Notificarti eventuali violazioni dei dati entro 72 ore dalla scoperta.
Per un DPA esteso con firma digitale (necessario per clienti enterprise o su richiesta di audit), scrivi a privacy@lagente.ai con oggetto "Richiesta DPA".
#10. Versioni e Aggiornamenti
La presente informativa è in vigore dal 31 marzo 2026 (versione 2.0). La versione precedente (v1.0, 26 marzo 2026) è disponibile su richiesta.
Ci riserviamo il diritto di aggiornare questa informativa. In caso di modifiche sostanziali, ti invieremo una notifica via email con almeno 30 giorni di preavviso. La continuazione dell'utilizzo del servizio dopo tale periodo costituisce accettazione della nuova informativa.
Le versioni precedenti dell'informativa sono disponibili su richiesta scrivendo a privacy@lagente.ai.