Privacy Policy
Ultimo aggiornamento: 30 aprile 2026
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è 0 Identity SRL, con sede in Via Mecenate 76, 20138 Milano (MI), Italia · P.IVA / C.F. 14315060963 · SDI T9K4ZHO · email business@0identity.com.
Per richieste in materia di protezione dati: dpo@0identity.com.
2. Base normativa
Il presente trattamento è conforme al Regolamento (UE) 2016/679 (GDPR), al D.lgs. 196/2003 (Codice Privacy) come modificato dal D.lgs. 101/2018, alle linee guida del Garante Privacy italiano e al Regolamento (UE) 2024/1689 sull'Intelligenza Artificiale (AI Act).
3. Tipologie di dati trattati
- Dati di registrazione: indirizzo email, password (cifrata in argon2id), nome scelto.
- Dati di pagamento: trattati direttamente da Stripe Payments Europe Ltd, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland. Non conserviamo numeri di carta.
- Dati di utilizzo dell'applicazione: log accessi, indirizzi IP, user-agent, eventi di sicurezza (audit log conservato 12 mesi).
- Dati operativi del prodotto: contenuti che invii volontariamente alla dashboard (statistiche locali del Mac, lista skills, lista MCP, memorie). Questi dati sono per-tenant, isolati per account, accessibili solo a te.
- Audio della chat vocale: registrazioni temporanee processate dalla Web Speech API del browser e da Anthropic Claude Haiku per refinement. Le registrazioni audio NON vengono salvate · solo il testo trascritto e raffinato è conservato.
4. Finalità del trattamento
- Fornitura del servizio (artt. 6.1.b GDPR · esecuzione del contratto): autenticazione, accesso alla dashboard, sincronizzazione bridge Mac–mobile.
- Fatturazione e adempimenti fiscali (artt. 6.1.c · obbligo di legge): emissione fatture elettroniche tramite Sistema di Interscambio (SdI), conservazione 10 anni.
- Sicurezza (artt. 6.1.f · legittimo interesse): audit log accessi, rate limiting, investigazioni in caso di sospetto abuso.
- Comunicazioni di servizio (artt. 6.1.b): email di verifica, reset password, notifiche di scadenza trial e rinnovo (24h prima).
- Adempimento obblighi DAC7 (artt. 6.1.c): se attivi il programma referral e superi soglie €2.000/anno o 30 transazioni/anno, comunicazione dati all'Agenzia delle Entrate ai sensi del D.lgs. 32/2023.
5. Comunicazione dei dati a terzi
I dati possono essere comunicati ai seguenti soggetti, in qualità di Responsabili del trattamento:
- Anthropic, PBC (548 Market St, San Francisco, CA 94104, USA) · modello Claude Haiku per voice refinement. Trasferimento extra-UE basato su Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea il 4 giugno 2021.
- Stripe Payments Europe Ltd (Irlanda) · gestione pagamenti.
- Resend Inc. (USA) · invio email transazionali. Trasferimento extra-UE su SCC.
- Hetzner Online GmbH (Germania) · hosting backend e database. Server in UE.
- Vercel Inc. (USA) · hosting frontend statico. SCC.
- Cloudflare Inc. (USA) · CDN, DNS e tunnel terminale. SCC.
Non vendiamo, cediamo o noleggiamo i dati personali a terzi per finalità di marketing.
6. Periodo di conservazione
- Account attivo: per tutta la durata del servizio.
- Account cancellato (Right to Erasure): dati personali rimossi entro 30 giorni · audit log mantenuto 12 mesi per finalità di sicurezza, poi cancellato. Dati fiscali (fatture) conservati 10 anni come da art. 2220 c.c.
- Sessioni di login: 14 giorni dal momento dell'ultimo accesso.
- Token bridge: fino a revoca manuale o cancellazione account.
7. Diritti dell'interessato
Ai sensi degli artt. 15-22 GDPR hai diritto a: accesso, rettifica, cancellazione (oblio), limitazione, portabilità, opposizione, e diritto di proporre reclamo al Garante Privacy (www.gpdp.it). Per esercitare questi diritti scrivi a dpo@0identity.com · rispondiamo entro 30 giorni.
La cancellazione account self-service è disponibile da /settings · cancella account: i dati personali sono rimossi immediatamente, l'audit log resta per 12 mesi anonimizzato.
8. Trasferimenti extra-UE
I trasferimenti verso USA (Anthropic, Resend, Vercel, Cloudflare) avvengono nel rispetto del Data Privacy Framework e mediante Clausole Contrattuali Standard (SCC)approvate dalla Commissione UE. I provider sono certificati DPF (verifica:dataprivacyframework.gov).
9. Cookie e tracciamento
Vedi la nostra Cookie Policy per dettagli.
10. Sicurezza tecnica
- Password cifrate in argon2id (16 MB memory cost · 3 iterazioni · 4 thread paralleli).
- Sessioni JWT firmate HS256, cookie HttpOnly · Secure · SameSite=Lax · prefisso __Host-.
- Database PostgreSQL con Row Level Security (RLS) · ogni tenant isolato a livello SQL.
- Trasporto TLS 1.3 obbligatorio (HSTS · max-age 2 anni · preload list).
- Backup giornalieri cifrati con conservazione 30 giorni.
11. Modifiche
Eventuali modifiche sostanziali a questa Privacy Policy sono comunicate via email almeno 15 giorni prima dell'entrata in vigore.