Privacy Policy

Questa Privacy Policy descrive come Optlyx raccoglie, utilizza e protegge i dati personali degli utenti che visitano il sito web optlyx.com e utilizzano la piattaforma Prisma per la gestione dello studio professionale.

1. Titolare del Trattamento

Il Titolare del trattamento dei dati è:

Optlyx di Paolo Puricelli
P.IVA: 02198920023
Sede Legale: Via Belluno 5, 21010 Cardano al Campo (VA), Italia
Email di contatto: hello@optlyx.com

2. Tipologia di Dati Raccolti

Raccogliamo le seguenti tipologie di dati:

• Dati di Navigazione: Indirizzi IP, tipo di browser, orari di accesso (raccolti automaticamente per fini tecnici e di sicurezza).
• Dati forniti volontariamente: Nome, email, ragione sociale, partita IVA e altri dati inseriti nei moduli di registrazione, contatto o durante l'utilizzo della piattaforma Prisma.
• Dati dei clienti dello studio: Anagrafiche, documenti fiscali, email e allegati caricati dagli utenti per la gestione dello studio. Questi dati sono trattati dal Titolare in qualità di Responsabile del Trattamento per conto dello studio (Data Processor).
• Documenti e file: Fatture, contratti, documenti contabili e altri file caricati sulla piattaforma. Di ogni documento viene calcolato un hash crittografico (SHA-256) per garantirne l'integrità, senza accesso al contenuto.
• Dati di posta elettronica: Email sincronizzate tramite integrazioni Gmail o Outlook, gestite per conto dell'utente. Il contenuto non viene letto né analizzato da Optlyx, ma può essere elaborato da modelli di intelligenza artificiale su richiesta esplicita dell'utente.
• Dati di messaggistica WhatsApp: Quando lo studio collega un numero alla WhatsApp Business Platform, vengono trattati il numero di telefono, il nome profilo, il contenuto dei messaggi scambiati con i clienti e gli eventuali allegati. Questi messaggi transitano dai server di Meta Platforms Ireland Ltd. Dettagli alla sezione 6-bis.
• Cookie: Per dettagli sui cookie, consultare la Cookie Policy.

3. Finalità e Base Giuridica

Trattiamo i dati per:

• Erogazione del Servizio: Permettere la navigazione sul sito e l'utilizzo della piattaforma Prisma (Base giuridica: Esecuzione del contratto).
• Gestione documentale: Archiviazione, categorizzazione e ricerca di documenti caricati dall'utente (Base giuridica: Esecuzione del contratto).
• Integrità documentale: Calcolo di hash crittografici (SHA-256), certificazione tramite Time Stamp Authority (TSA) conformi a RFC 3161, costruzione di alberi Merkle e ancoraggio opzionale su blockchain Bitcoin via OpenTimestamps, al fine di garantire la data certa e l'immodificabilità dei documenti (Base giuridica: Legittimo interesse e obblighi legali ai sensi del CAD - D.Lgs. 82/2005 e del Reg. UE 910/2014 eIDAS).
• Elaborazione tramite Intelligenza Artificiale: Categorizzazione automatica delle email, classificazione dei documenti, generazione di bozze di risposta e analisi fiscale, utilizzando modelli AI (Google Gemini). L'elaborazione AI avviene solo su richiesta o configurazione dell'utente. Tutte le decisioni AI sono registrate in un audit trail trasparente conforme ai principi dell'AI Act (Reg. UE 2024/1689) per garantire spiegabilità e non discriminazione (Base giuridica: Consenso esplicito e legittimo interesse).
• Audit Trail e Non Ripudio: Registrazione degli accessi ai documenti, delle operazioni di condivisione, delle decisioni AI e delle modifiche per garantire tracciabilità e conformità legale (Base giuridica: Obbligo legale e legittimo interesse).
• Risposta a Richieste: Rispondere alle email o ai messaggi inviati dagli utenti (Base giuridica: Misure precontrattuali).
• Sicurezza: Prevenire abusi, device fingerprinting per il tracciamento degli accessi ai documenti condivisi e garantire la sicurezza dell'infrastruttura (Base giuridica: Legittimo interesse).

4. Elaborazione tramite Intelligenza Artificiale

La piattaforma Prisma utilizza modelli di intelligenza artificiale (Google Gemini) per:

• Categorizzazione automatica delle email in arrivo
• Classificazione e rinomina intelligente dei documenti
• Generazione di bozze di risposta (ghost drafts)
• Analisi delle scadenze fiscali da comunicazioni PEC
• Estrazione dati da fatture e documenti contabili

L'utente può abilitare o disabilitare ciascuna funzionalità AI dalle impostazioni. Nessuna decisione automatizzata viene presa senza supervisione umana. Ogni elaborazione AI viene registrata nell'audit trail con dettagli su: modello utilizzato, input fornito, output generato, livello di confidenza e motivazione della decisione.

I dati inviati ai modelli AI sono trattati secondo le politiche di Google Cloud e non vengono utilizzati per l'addestramento dei modelli.

5. Integrità Documentale e Blockchain

Per garantire l'integrità e la data certa dei documenti, la piattaforma implementa:

• Hashing SHA-256: Di ogni documento viene calcolato un'impronta digitale crittografica univoca. L'hash non permette di ricostruire il contenuto del documento.
• Certificazione TSA (RFC 3161): Gli hash vengono certificati tramite Time Stamp Authority gratuite e conformi allo standard RFC 3161 (FreeTSA.org, DigiCert, Sectigo), ottenendo una marca temporale con valore legale ai sensi dell'art. 41 del Reg. UE 910/2014 (eIDAS).
• Merkle Tree: Gli hash dei documenti certificati vengono aggregati quotidianamente in un albero di Merkle (struttura ad albero binario SHA-256) per consentire la verifica efficiente di grandi volumi di documenti.
• Ancoraggio Blockchain: La radice dell'albero Merkle può essere ancorata alla blockchain Bitcoin tramite il protocollo OpenTimestamps, ottenendo una prova di esistenza immutabile e verificabile da terzi.

Nessun dato personale o contenuto documentale viene scritto sulla blockchain: viene ancorato unicamente l'hash crittografico della radice Merkle.

6. Hosting e Trasferimento Dati

Il sito e la piattaforma Prisma sono ospitati su Google Cloud Platform (Firebase), con data center nella regione europe-west1 (Belgio, UE).

I server per la distribuzione dei contenuti (CDN) possono trovarsi in diverse località globali per garantire la velocità del sito. Google Cloud adotta Clausole Contrattuali Standard (SCC) e misure di sicurezza avanzate per proteggere i dati durante l'eventuale trasferimento fuori dallo Spazio Economico Europeo (SEE), in conformità col GDPR.

Le elaborazioni AI vengono eseguite tramite Google Gemini API nella regione europea, senza trasferimento di dati al di fuori del SEE.

6-bis. Messaggistica via WhatsApp Business

La piattaforma Prisma integra la WhatsApp Business Platform per consentire allo studio di comunicare con i propri clienti (richieste di documenti, link di pagamento, notifiche di firma, avvisi di scadenza e assistenza). L'attivazione è facoltativa e avviene su iniziativa dello studio.

• Fornitore e destinatario dei dati: il canale è erogato da Meta Platforms Ireland Ltd. I messaggi, i numeri e gli allegati transitano dalla sua infrastruttura. Meta agisce come autonomo titolare per le proprie finalità di piattaforma e come sub-responsabile per la consegna dei messaggi, secondo le proprie condizioni (WhatsApp Business Policy).
• Dati trattati: numero di telefono, nome profilo WhatsApp, contenuto dei messaggi e allegati (che possono includere documenti fiscali o identificativi inviati dai clienti).
• Finalità e base giuridica — messaggi di servizio: notifiche e comunicazioni operative non promozionali sono inviate in esecuzione del contratto o sulla base del legittimo interesse dello studio a gestire il rapporto con il cliente.
• Finalità e base giuridica — messaggi promozionali: i messaggi di marketing sono inviati esclusivamente ai clienti che hanno prestato un consenso esplicito e specifico; in assenza di consenso l'invio è bloccato dal sistema. Il consenso è sempre revocabile.
• Risposte automatiche (AI): se lo studio attiva l'assistente automatico, un cliente che scrive può ricevere una risposta generata dall'AI (Narya). L'AI si limita a indirizzare la richiesta verso il canale corretto e non fornisce consulenza, importi o pareri di merito.
• Trasferimento extra-UE: Meta può trattare i dati anche fuori dallo Spazio Economico Europeo. Il trasferimento è garantito dalle Clausole Contrattuali Standard (SCC) adottate da Meta.
• Conservazione: lo storico delle conversazioni è conservato all'interno della piattaforma per la durata del rapporto e comunque non oltre quanto necessario alle finalità sopra indicate; è cancellabile su richiesta dell'interessato o dello studio.

6-ter. Connettore MCP (assistenti AI esterni)

Prisma mette a disposizione un Connettore MCP (Model Context Protocol) che consente al titolare dello studio di consultare e gestire i dati del proprio studio tramite assistenti AI compatibili (ad esempio Claude di Anthropic e ChatGPT di OpenAI). L'accesso avviene tramite OAuth 2.1 con PKCE: la password non è mai condivisa con l'assistente né con il suo provider.

• Dati trattati: dati di autenticazione, dati dello studio consultati su richiesta (scadenze, anagrafiche e dati dei clienti, fatture, documenti, appuntamenti), dati creati su richiesta (nuove scadenze e appuntamenti) e dati tecnici di sessione.
• Destinatari e ruolo: i provider degli assistenti AI agiscono come sub-responsabili autorizzati; ricevono solo i dati pertinenti alla specifica richiesta dell'utente e sempre su sua iniziativa. Optlyx non vende i dati e non li usa per profilazione o per l'addestramento di modelli.
• Trasferimento extra-UE: Anthropic e OpenAI sono stabiliti negli Stati Uniti; i dati pertinenti alla richiesta sono trasferiti fuori dallo Spazio Economico Europeo con garanzie adeguate (artt. 44-49 GDPR — EU-US Data Privacy Framework e/o Clausole Contrattuali Standard (SCC)).
• Limiti di trattamento: il Connettore consente la sola consultazione e la creazione di scadenze e appuntamenti; non modifica né elimina dati esistenti e non opera su pagamenti, fatturazione elettronica, deleghe F24, firme elettroniche o pratiche AML.
• Revoca: l'accesso è revocabile in qualsiasi momento da Prisma → Impostazioni → Connessioni, o rimuovendo il connettore dall'assistente; la revoca invalida immediatamente i token.

Informativa dedicata: Privacy Policy del Connettore MCP.

7. Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti:

• Dati dell'account: Per tutta la durata del rapporto contrattuale e per 12 mesi dalla cancellazione dell'account.
• Documenti e archivio: Secondo quanto configurato dall'utente e comunque non oltre quanto previsto dalla legge (es. obblighi fiscali per le fatture: 10 anni).
• Certificati di integrità (TSA/Merkle): Conservati a tempo indeterminato in quanto costituiscono prove legali di data certa.
• Audit trail: Conservato per 10 anni ai sensi degli obblighi di conservazione documentale (CAD art. 43-44).
• Log AI: Conservati per 5 anni ai fini della tracciabilità delle decisioni automatizzate (AI Act art. 12).

7-bis. Classificazione Documenti: Certificazione e Conservazione

La piattaforma distingue automaticamente i documenti in due categorie in base agli obblighi normativi:

Ogni operazione sulla piattaforma — sia su documenti certificati che non — produce un log di audit certificato con timestamp, attore, azione e metadati, consultabile nella sezione Impostazioni della piattaforma.

8. Misure di Sicurezza

Adottiamo le seguenti misure tecniche e organizzative:

• Crittografia dei dati in transito (TLS 1.3) e a riposo (AES-256)
• Autenticazione a due fattori (2FA) per gli account utente
• Architettura multi-tenant con isolamento dei dati per studio
• Hash crittografici SHA-256 per la verifica dell'integrità documentale
• Audit trail completo di tutti gli accessi e le modifiche
• Backup automatici con retention configurabile
• Controllo granulare degli accessi basato su ruoli (RBAC)

9. Diritti dell'Utente

Ai sensi del GDPR (artt. 15-22), l'utente ha diritto di:

• Chiedere l'accesso, la rettifica o la cancellazione dei propri dati.
• Limitare o opporsi al trattamento.
• Richiedere la portabilità dei dati in formato strutturato (JSON/CSV).
• Revocare il consenso in qualsiasi momento, incluso il consenso all'elaborazione AI.
• Ottenere spiegazioni sulle decisioni automatizzate (art. 22 GDPR e AI Act).
• Richiedere l'esportazione completa delle prove di integrità (certificati TSA, prove Merkle, audit trail).

Per esercitare questi diritti, scrivere a: hello@optlyx.com.

L'utente può inoltre esercitare alcuni diritti direttamente dalla piattaforma Prisma, nella sezione Impostazioni → GDPR Center, dove è possibile richiedere l'esportazione o la cancellazione dei propri dati in autonomia.

10. Responsabile del Trattamento (Data Processor)

Quando lo studio utilizza Prisma per gestire i dati dei propri clienti, Optlyx agisce in qualità di Responsabile del Trattamento (Data Processor) ai sensi dell'art. 28 del GDPR. Lo studio resta il Titolare del Trattamento dei dati dei propri clienti.

Il contratto di nomina a Responsabile del Trattamento (DPA) è disponibile nella sezione Impostazioni → Privacy & DPA della piattaforma Prisma.

11. Modifiche alla Privacy Policy

Ci riserviamo il diritto di modificare questa Privacy Policy. Le modifiche saranno pubblicate su questa pagina con aggiornamento della data in alto. Per modifiche sostanziali, gli utenti registrati saranno notificati via email.