← HomePrivacy Policy
Ultima revisione: 19 maggio 2026 · BOZZA da validare con avvocato
1. Titolare del trattamento
Il Titolare del trattamento dei dati è Marco Morana, in qualità di gestore della piattaforma Agentis (di seguito "Agentis", "noi", "Servizio"). Email di contatto: marco091061@yahoo.it.
2. Dati raccolti
Durante l'utilizzo di Agentis raccogliamo le seguenti categorie di dati:
- Dati di registrazione: email, password (hashata con bcrypt, mai memorizzata in chiaro), nome del tenant/studio, ruolo.
- Dati di utilizzo: query inviate alla pipeline AI, atti generati, cronologia conversazioni, log di audit (chi ha fatto cosa e quando), saldo crediti, tempi di esecuzione.
- Dati tecnici: indirizzo IP (solo per rate limit anti-bruteforce, conservato 15 minuti), user-agent, timestamp di accesso.
- Bring-your-own API key (opzionale): se l'utente fornisce una propria chiave API (OpenAI, Anthropic, OpenRouter), questa viene cifrata con AES-256-GCM e usata esclusivamente per le sue chiamate. Non viene mai trasmessa o letta in chiaro dal personale.
3. Finalità del trattamento
- Erogazione del Servizio (autenticazione, esecuzione pipeline AI, persistenza casi e conversazioni).
- Sicurezza (rate limit, audit log, anti-allucinazione).
- Fatturazione e gestione crediti.
- Comunicazioni transazionali (welcome, reset password, notifiche compliance gate, weekly digest).
- Miglioramento del Servizio (in forma aggregata e anonima).
4. Base giuridica (art. 6 GDPR)
- Esecuzione del contratto (art. 6.1.b): per l'erogazione del Servizio.
- Legittimo interesse (art. 6.1.f): per sicurezza e prevenzione frodi.
- Consenso (art. 6.1.a): per comunicazioni marketing facoltative.
5. Trasferimenti a terzi
Agentis utilizza i seguenti fornitori (sub-responsabili del trattamento) per erogare il Servizio:
- OpenAI (USA, conformità EU-US Data Privacy Framework): elaborazione AI e vector store.
- Anthropic (USA, EU-US DPF), OpenRouter (USA): provider LLM alternativi opzionali.
- Resend (USA, EU-US DPF): invio email transazionali (welcome, reset password, notifiche).
- Hetzner / VPS hosting (Europa): infrastruttura server, database, backup.
I dati inviati ai provider LLM contengono il contenuto delle query e dei documenti elaborati. Non inviare a Agentis dati personali sensibili di terzi senza loro autorizzazione.
6. Periodo di conservazione
- Account attivi: per tutta la durata del rapporto contrattuale.
- Casi, messaggi, audit log: conservati fino a esplicita cancellazione da parte dell'utente o cessazione contratto + 12 mesi (per ragioni di sicurezza e disputa).
- Backup database: 14 giorni di rotazione.
- Token reset password: 60 minuti.
- Indirizzi IP per rate limit: 15 minuti in-memory.
7. Diritti dell'interessato (art. 15-22 GDPR)
Hai diritto a:
- Accedere ai tuoi dati (art. 15)
- Rettifica (art. 16)
- Cancellazione / "diritto all'oblio" (art. 17)
- Limitazione del trattamento (art. 18)
- Portabilità (art. 20) — fornitura esportazione completa via dump JSON
- Opposizione (art. 21)
- Reclamo al Garante Privacy (art. 77)
Per esercitare i diritti, scrivi a marco091061@yahoo.it. Risposta entro 30 giorni.
8. Sicurezza
Adottiamo le seguenti misure tecniche:
- HTTPS / TLS 1.3 su tutto il traffico
- Password hashate con bcrypt 12 rounds
- API keys utente cifrate con AES-256-GCM
- JWT firmati HS256 con scadenza 8 ore
- Rate limit anti-bruteforce su endpoint sensibili
- Isolamento multi-tenant a livello di query DB
- Backup giornaliero criptato con retention 14 giorni
- Audit log immutabile per ogni azione sensibile
9. Cookie
Agentis non utilizza cookie di tracking. Il token di sessione è memorizzato in localStorage del browser (non in cookie) ed eliminato al logout.
10. Modifiche
Eventuali modifiche a questa Privacy Policy verranno notificate via email almeno 30 giorni prima dell'entrata in vigore.