← Home

Privacy Policy

Ultima revisione: 19 maggio 2026 · BOZZA da validare con avvocato

1. Titolare del trattamento

Il Titolare del trattamento dei dati è Marco Morana, in qualità di gestore della piattaforma Agentis (di seguito "Agentis", "noi", "Servizio"). Email di contatto: marco091061@yahoo.it.

2. Dati raccolti

Durante l'utilizzo di Agentis raccogliamo le seguenti categorie di dati:

  • Dati di registrazione: email, password (hashata con bcrypt, mai memorizzata in chiaro), nome del tenant/studio, ruolo.
  • Dati di utilizzo: query inviate alla pipeline AI, atti generati, cronologia conversazioni, log di audit (chi ha fatto cosa e quando), saldo crediti, tempi di esecuzione.
  • Dati tecnici: indirizzo IP (solo per rate limit anti-bruteforce, conservato 15 minuti), user-agent, timestamp di accesso.
  • Bring-your-own API key (opzionale): se l'utente fornisce una propria chiave API (OpenAI, Anthropic, OpenRouter), questa viene cifrata con AES-256-GCM e usata esclusivamente per le sue chiamate. Non viene mai trasmessa o letta in chiaro dal personale.

3. Finalità del trattamento

  • Erogazione del Servizio (autenticazione, esecuzione pipeline AI, persistenza casi e conversazioni).
  • Sicurezza (rate limit, audit log, anti-allucinazione).
  • Fatturazione e gestione crediti.
  • Comunicazioni transazionali (welcome, reset password, notifiche compliance gate, weekly digest).
  • Miglioramento del Servizio (in forma aggregata e anonima).

4. Base giuridica (art. 6 GDPR)

  • Esecuzione del contratto (art. 6.1.b): per l'erogazione del Servizio.
  • Legittimo interesse (art. 6.1.f): per sicurezza e prevenzione frodi.
  • Consenso (art. 6.1.a): per comunicazioni marketing facoltative.

5. Trasferimenti a terzi

Agentis utilizza i seguenti fornitori (sub-responsabili del trattamento) per erogare il Servizio:

  • OpenAI (USA, conformità EU-US Data Privacy Framework): elaborazione AI e vector store.
  • Anthropic (USA, EU-US DPF), OpenRouter (USA): provider LLM alternativi opzionali.
  • Resend (USA, EU-US DPF): invio email transazionali (welcome, reset password, notifiche).
  • Hetzner / VPS hosting (Europa): infrastruttura server, database, backup.

I dati inviati ai provider LLM contengono il contenuto delle query e dei documenti elaborati. Non inviare a Agentis dati personali sensibili di terzi senza loro autorizzazione.

6. Periodo di conservazione

  • Account attivi: per tutta la durata del rapporto contrattuale.
  • Casi, messaggi, audit log: conservati fino a esplicita cancellazione da parte dell'utente o cessazione contratto + 12 mesi (per ragioni di sicurezza e disputa).
  • Backup database: 14 giorni di rotazione.
  • Token reset password: 60 minuti.
  • Indirizzi IP per rate limit: 15 minuti in-memory.

7. Diritti dell'interessato (art. 15-22 GDPR)

Hai diritto a:

  • Accedere ai tuoi dati (art. 15)
  • Rettifica (art. 16)
  • Cancellazione / "diritto all'oblio" (art. 17)
  • Limitazione del trattamento (art. 18)
  • Portabilità (art. 20) — fornitura esportazione completa via dump JSON
  • Opposizione (art. 21)
  • Reclamo al Garante Privacy (art. 77)

Per esercitare i diritti, scrivi a marco091061@yahoo.it. Risposta entro 30 giorni.

8. Sicurezza

Adottiamo le seguenti misure tecniche:

  • HTTPS / TLS 1.3 su tutto il traffico
  • Password hashate con bcrypt 12 rounds
  • API keys utente cifrate con AES-256-GCM
  • JWT firmati HS256 con scadenza 8 ore
  • Rate limit anti-bruteforce su endpoint sensibili
  • Isolamento multi-tenant a livello di query DB
  • Backup giornaliero criptato con retention 14 giorni
  • Audit log immutabile per ogni azione sensibile

9. Cookie

Agentis non utilizza cookie di tracking. Il token di sessione è memorizzato in localStorage del browser (non in cookie) ed eliminato al logout.

10. Modifiche

Eventuali modifiche a questa Privacy Policy verranno notificate via email almeno 30 giorni prima dell'entrata in vigore.