Privacy Policy

Premessa

La presente informativa e resa ai sensi del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018.

Il Titolare del trattamento e Enrico Spampinato (P.IVA 05928650877) (di seguito "Titolare"), raggiungibile tramite la piattaforma buddy.spampi.it o all'indirizzo email enrispampi@gmail.com.

1. Dati Raccolti

Raccogliamo le seguenti categorie di dati personali:

  • Dati identificativi del referente: nome e cognome, email, numero di telefono.
  • Dati aziendali: ragione sociale, partita IVA, codice fiscale, numero REA, indirizzo sede legale.
  • Dati per la fatturazione elettronica: PEC e/o codice destinatario (SDI).
  • Dati di accesso: credenziali di autenticazione (le password sono crittografate con algoritmi di hashing e non sono accessibili in chiaro).
  • Dati di utilizzo: log degli accessi, interventi tecnici richiesti, ore di consulenza utilizzate, acquisti effettuati, stato degli abbonamenti.
  • Dati di pagamento: metodo di pagamento scelto (carta, SEPA, bonifico). I dati delle carte di credito e degli addebiti SEPA sono gestiti esclusivamente da Stripe e non vengono memorizzati sui nostri sistemi. Conserviamo: riferimento Stripe Customer, ID sessione di pagamento, importo e data della transazione.
  • Richieste intervento del Cliente: titolo, descrizione, urgenza, data preferita, canale di provenienza, stato della proposta di esito (accettata/rifiutata) e relativi timestamp.
  • Allegati multimediali: immagini, audio, video e documenti caricati da amministratore o Cliente nell'ambito di interventi e conversazioni. Per le richieste iniziate dal Cliente vige il limite tecnico di 3 file e 50 MB complessivi per richiesta.
  • Trascrizioni: testo generato automaticamente da file audio/video caricati, ottenuto tramite servizi di speech-to-text di terze parti.
  • Credenziali di piattaforme terze: username, password e note relative a sistemi di terzi che il Cliente sceglie di archiviare sulla piattaforma per finalita di assistenza. Le credenziali sono memorizzate in forma cifrata (AES-256-GCM) e accessibili in chiaro solo al Titolare per le attivita concordate.
  • Log di accesso alle risorse della knowledge base: identificativo utente (se autenticato), indirizzo IP, user-agent, referrer, paese e citta approssimativi derivati dagli header di Vercel.
  • Log di utilizzo dei modelli di intelligenza artificiale: modello impiegato, operazione, numero di token in input/output e costo stimato, raccolti per finalita interne di monitoraggio e rendicontazione.
  • Contratti firmati digitalmente: PDF dei contratti di abbonamento generati dalla piattaforma e relative copie firmate caricate dal Cliente.

2. Finalita e Base Giuridica del Trattamento

I dati personali sono trattati per le seguenti finalita:

FinalitaBase Giuridica
Erogazione dei servizi di consulenza, fornitura di prodotti e gestione del rapporto contrattualeEsecuzione del contratto (Art. 6.1.b GDPR)
Creazione e gestione dell'account utente tramite invitoEsecuzione del contratto (Art. 6.1.b GDPR)
Elaborazione dei pagamenti (carta, SEPA, bonifico) e fatturazione elettronicaObbligo legale (Art. 6.1.c GDPR)
Invio di offerte commerciali personalizzateEsecuzione del contratto / Legittimo interesse (Art. 6.1.b/f GDPR)
Comunicazioni di servizio (scadenze abbonamenti, rinnovi, aggiornamenti)Legittimo interesse (Art. 6.1.f GDPR)
Adempimenti fiscali e contabiliObbligo legale (Art. 6.1.c GDPR)
Ricezione e gestione delle richieste di intervento iniziate dal Cliente, incluso il workflow di proposta esito (accettazione/rifiuto)Esecuzione del contratto (Art. 6.1.b GDPR)
Trascrizione automatica di file audio/video allegati a interventi e conversazioni per finalita di documentazioneEsecuzione del contratto (Art. 6.1.b GDPR)
Conservazione cifrata di credenziali di terze parti su esplicita richiesta del Cliente, per attivita di assistenzaEsecuzione del contratto / Legittimo interesse (Art. 6.1.b/f GDPR)
Analisi degli accessi alla knowledge base per misurare l'utilizzo dei contenuti e migliorare il servizioLegittimo interesse (Art. 6.1.f GDPR)
Monitoraggio dell'utilizzo e dei costi dei modelli di intelligenza artificiale impiegati nei processi interniLegittimo interesse (Art. 6.1.f GDPR)
Tutela legale dei diritti del TitolareLegittimo interesse (Art. 6.1.f GDPR)

3. Soggetti Terzi e Trasferimento Dati

I dati personali possono essere comunicati ai seguenti soggetti terzi, in qualita di Responsabili del trattamento:

  • Supabase Inc. (San Francisco, USA) — Piattaforma di backend che ospita il database, il sistema di autenticazione e le funzioni server-side. Supabase aderisce alle Standard Contractual Clauses (SCC) per il trasferimento dei dati verso gli USA. Informativa privacy: supabase.com/privacy
  • Stripe Inc. (San Francisco, USA) — Piattaforma di elaborazione pagamenti certificata PCI DSS Level 1. Stripe gestisce i pagamenti con carta di credito/debito e addebito diretto SEPA. Stripe tratta i dati di pagamento in conformita al GDPR. Informativa privacy: stripe.com/privacy
  • Vercel Inc. (San Francisco, USA) — Piattaforma di hosting che serve l'applicazione web. Vercel tratta i dati di navigazione (indirizzo IP, user agent) per l'erogazione del servizio. Informativa privacy: vercel.com/legal/privacy-policy
  • OpenAI, L.L.C. (San Francisco, USA) — Servizio di trascrizione automatica (Whisper) per file audio e video allegati a interventi e conversazioni. Il trasferimento dati verso gli USA avviene sulla base delle Standard Contractual Clauses (SCC). Informativa privacy: openai.com/policies/privacy-policy
  • Anthropic, PBC (San Francisco, USA) — Modelli di intelligenza artificiale (Claude API) impiegati per analisi conversazioni, riassunti di interventi e supporto operativo interno. Trasferimento dati verso gli USA basato sulle Standard Contractual Clauses (SCC). Anthropic non utilizza i dati trasmessi tramite API per addestrare i propri modelli. Informativa privacy: anthropic.com/legal/privacy
  • Telegram FZ-LLC — Servizio di messaggistica utilizzato per inviare notifiche di workflow al Titolare (es. nuove richieste intervento, accettazioni/rifiuti del Cliente). Possono transitare nomi del Cliente e riferimenti agli interventi. Informativa privacy: telegram.org/privacy

Per la fornitura di prodotti hardware, materiali e servizi di terzi (hosting, domini, licenze), i dati del Cliente possono essere comunicati ai rispettivi fornitori nella misura strettamente necessaria all'erogazione del servizio.

I dati non vengono venduti, ceduti o divulgati a terzi per finalita di marketing.

4. Conservazione dei Dati

I dati personali vengono conservati per il tempo strettamente necessario al perseguimento delle finalita per cui sono stati raccolti:

  • Dati dell'account: per tutta la durata del rapporto contrattuale e fino a 12 mesi dalla cessazione.
  • Dati di fatturazione e pagamento: 10 anni dalla data della transazione, come previsto dalla normativa fiscale italiana.
  • Log degli interventi e acquisti: 5 anni dalla data dell'intervento/acquisto.
  • Dati di accesso (log): 6 mesi dalla data di generazione.
  • Offerte commerciali: 12 mesi dalla data di creazione.
  • Allegati di interventi e conversazioni: per la durata dell'intervento collegato e fino a 5 anni dalla sua chiusura.
  • Trascrizioni di file audio/video: per la stessa durata dell'intervento o conversazione collegata.
  • Credenziali di terze parti: fino a richiesta di cancellazione da parte del Cliente o alla chiusura dell'account.
  • Log di accesso alle risorse della knowledge base: 6 mesi dalla data di generazione.
  • Log di utilizzo dei modelli di intelligenza artificiale: 12 mesi dalla data di generazione.
  • Contratti firmati digitalmente: 10 anni, in conformita agli obblighi fiscali e civilistici.

Alla scadenza dei termini di conservazione, i dati vengono cancellati o anonimizzati in modo irreversibile.

5. Diritti dell'Interessato

Ai sensi degli articoli 15-22 del GDPR, l'interessato ha diritto di:

  • Accesso: ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati.
  • Rettifica: ottenere la correzione di dati inesatti o l'integrazione di dati incompleti.
  • Cancellazione ("diritto all'oblio"): ottenere la cancellazione dei propri dati, salvo obblighi legali di conservazione.
  • Limitazione: ottenere la limitazione del trattamento in determinati casi.
  • Portabilita: ricevere i propri dati in formato strutturato e trasferirli a un altro titolare.
  • Opposizione: opporsi al trattamento basato sul legittimo interesse.

Per esercitare i propri diritti, l'interessato puo contattare il Titolare all'indirizzo email enrispampi@gmail.com. La richiesta verra evasa entro 30 giorni.

6. Sicurezza dei Dati

Il Titolare adotta misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali, tra cui:

  • Crittografia dei dati in transito (TLS/SSL) e a riposo.
  • Autenticazione sicura con password crittografate (hash bcrypt).
  • Controllo degli accessi basato su ruoli (RBAC) con distinzione tra amministratore e cliente.
  • Row Level Security (RLS) a livello di database: ogni utente accede solo ai propri dati.
  • Pagamenti elaborati tramite Stripe (PCI DSS Level 1) senza memorizzazione di dati sensibili sui nostri sistemi.
  • Backup regolari e procedure di disaster recovery gestiti da Supabase.

7. Cookie e Tracciamento

La piattaforma utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio (sessione di autenticazione). Non vengono utilizzati cookie di profilazione o di terze parti per finalita di marketing.

Gli accessi alle risorse della knowledge base — anche tramite link diretto e da parte di utenti non autenticati — vengono registrati con indirizzo IP, user-agent, referrer e geolocalizzazione approssimativa (paese/citta) derivata dagli header forniti da Vercel. I log sono utilizzati a fini di analisi statistica dell'utilizzo dei contenuti e di sicurezza, e sono conservati per il periodo indicato nella sezione 4.

8. Reclami

L'interessato ha il diritto di proporre reclamo all'Autorita Garante per la Protezione dei Dati Personali:

Garante per la protezione dei dati personali

Piazza Venezia, 11 - 00187 Roma

Sito web: www.garanteprivacy.it

Email: protocollo@gpdp.it

9. Modifiche alla Privacy Policy

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, pubblicando la versione aggiornata sulla piattaforma. Le modifiche significative saranno comunicate via email. Si consiglia di consultare periodicamente questa pagina.

Ultimo aggiornamento: 7 aprile 2026