Informativa sulla Privacy

1. Titolare del Trattamento

ARCANO ZERO – AI LAB SRL
Sede legale: Via Alessandro Torlonia n. 16, 00161 Roma (RM)
P.IVA / C.F.: 18432281006
REA: RM – 1784120
PEC: arcanozero@legalmail.it
Email: admin@arcanozero.com
Legale rappresentante: Alessandra Marziali

Il Titolare del Trattamento è responsabile della protezione dei dati personali raccolti tramite la piattaforma StartApp (startapptoolbox.it / .io / .com).

2. Categorie di Dati Raccolti

Il Titolare raccoglie le seguenti categorie di dati personali:

A. Dati di Registrazione e Profilo:

• Nome completo
• Indirizzo email
• Password (memorizzata in formato criptato con hash)
• Avatar/foto profilo (facoltativo)
• Ruolo nell'organizzazione (founder, consultant, team member, admin)
• Data di creazione account

B. Dati Aziendali e di Progetto:

• Dati identificativi aziendali (partita IVA, codice fiscale, numero REA)
• Informazioni sulla startup (denominazione, forma giuridica, data di costituzione, sede legale, PEC)
• Informazioni sui prodotti/servizi (descrizione, tecnologie, stage di sviluppo)
• Dati di mercato (target customer, TAM/SAM/SOM, competitors, prezzi)
• Dati finanziari (revenue, costs, burn rate, forecast, balance sheets)
• Dati di traction (utenti, clienti, MRR/ARR, partnership, KPI)
• Informazioni su team e shareholder
• Documenti e allegati caricati dall'Utente

C. Dati di Pagamento:

• Metodo di pagamento (carta di credito/debito, IBAN)
• Cronologia transazioni e fatture
• Stato abbonamento (attivo, cancellato, scaduto)

I dati di pagamento sono elaborati esclusivamente da Stripe, Inc. (certificato PCI-DSS Level 1). Il Titolare NON memorizza numeri di carta di credito, CVC o IBAN sui propri server.

D. Dati Generati dall'AI:

• Documenti generati (Business Plan, Executive Summary, Pitch Deck, SWOT, BMC, etc.)
• Analisi e suggerimenti forniti dal Servizio
• Storico delle versioni dei documenti
• Log degli agent run (input, output, token utilizzati)

E. Dati di Navigazione e Telemetria:

• Indirizzo IP
• Tipo e versione di browser
• Sistema operativo e device type
• Pagine visitate e sezioni utilizzate
• Durata delle sessioni
• Data e ora di accesso
• Referer (provenienza)
• Cookie identifiers

F. Dati di Comunicazione:

• Email scambiate con il supporto clienti
• Feedback, segnalazioni di bug e suggestions forniti dall'Utente
• Log delle comunicazioni

3. Finalità e Base Giuridica del Trattamento

Il Titolare tratta i dati personali per le seguenti finalità, con le corrispondenti basi giuridiche:

A. Esecuzione del Contratto (Art. 6(1)(b) GDPR):

• Registrazione e gestione dell'account
• Erogazione del Servizio e delle funzionalità accessibili al piano tariffario
• Elaborazione pagamenti e fatturazione
• Generazione di documenti e contenuti AI
• Fornire supporto clienti e assistenza tecnica
• Gestione reclami e dispute
• Comunicazioni essenziali relative al Servizio (conferme, avvisi di manutenzione, scadenza abbonamento)

B. Interesse Legittimo (Art. 6(1)(f) GDPR):

• Sicurezza e prevenzione frodi della piattaforma
• Protezione da abusi e violazioni dei Termini
• Miglioramento continuo del Servizio (analisi di usabilità, performance, bug)
• Monitoraggio e logging per la risoluzione di problemi tecnici
• Analisi aggregate e anonimizzate dell'utilizzo del Servizio
• Enforcement dei diritti legali del Titolare

C. Consenso (Art. 6(1)(a) GDPR):

• Invio di comunicazioni commerciali, newsletter, aggiornamenti su nuove feature (opt-in)
• Cookie analitici e di miglioramento dell'esperienza (Vercel Analytics)
• Profilazione per personalizzazione del Servizio
• Ricerche di mercato e survey di soddisfazione

Il consenso può essere revocato in qualsiasi momento contattando admin@arcanozero.com o tramite i link di unsubscribe presenti nelle comunicazioni.

D. Obbligo Legale (Art. 6(1)(c) GDPR):

• Adempimenti fiscali (conservazione fatture, dati per dichiarazioni IVA)
• Obblighi contabili (conservazione registri per revisione contabile)
• Obblighi normativi (antiriciclaggio, compliance bancaria)
• Rispetto ordini di autorità pubbliche (forze dell'ordine, giudici, Agenzia delle Entrate)

4. Trattamento mediante AI e Trasferimenti a Terzi

A. Trattamento dei Dati tramite Anthropic Claude (AI):

Quando l'Utente genera documenti o contenuti AI, i dati di input vengono inviati all'API di Anthropic Claude (società Anthropic PBC, con sede negli USA) per l'elaborazione e la generazione di contenuti. Specificamente:

• I dati vengono trasmessi in forma criptata tramite connessione HTTPS
• Anthropic agisce come Sub-processore (Responsabile del Trattamento secondario) del Titolare
• I dati NON vengono utilizzati da Anthropic per addestrare o migliorare i modelli di intelligenza artificiale (clausola contrattuale dei Commercial Terms)
• Anthropic memorizza i dati solo per la durata della richiesta API (pochi secondi) e non li conserva persistentemente
• Il trasferimento verso gli USA avviene in conformità alle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea
• Il rapporto è regolato dal Anthropic Data Processing Addendum (DPA) (effettivo 24 febbraio 2025), incorporato nei Commercial Terms of Service di Anthropic ed accettato dal Titolare al momento della sottoscrizione del servizio API. Testo integrale: anthropic.com/legal/data-processing-addendum
• Lista dei sub-processor di Anthropic (per trasparenza): anthropic.com/subprocessors
• Notifica data breach: Anthropic si impegna a notificare il Titolare entro 48 ore dalla scoperta di una violazione (art. relativo del DPA). Il Titolare provvederà alla notifica al Garante Privacy entro le 72 ore previste dall'art. 33 GDPR.

B. Destinatari dei Dati (Sub-processori):

I dati personali possono essere comunicati ai seguenti soggetti, che agiscono come Responsabili del Trattamento o Sub-processori:

1. Supabase (Database e Hosting):

• Hosting dei dati su infrastruttura AWS nella regione EU (Francoforte, Germania)
• Funzionalità: database PostgreSQL, autenticazione, Row Level Security
• Ruolo: Responsabile del Trattamento (Sub-processore)
• Ubicazione: EU (Germania)
• Privacy Policy: https://supabase.com/privacy

2. Vercel (CDN e Hosting Frontend):

• Hosting dell'applicazione web e edge delivery
• Funzionalità: server-side rendering, caching, DDoS protection
• Ruolo: Responsabile del Trattamento (Sub-processore)
• Ubicazione: Server EU ed USA
• Privacy Policy: https://vercel.com/legal/privacy-policy

3. Anthropic (AI Processing):

• Elaborazione e generazione di contenuti tramite Claude API
• Funzionalità: text generation, analysis, document creation
• Ruolo: Sub-processore
• Ubicazione: USA (trasferimento internazionale)
• Garanzie: SCC UE incorporate nel DPA Anthropic
• Conservazione: dati trattati solo durante la API call, non conservati persistentemente
• DPA: anthropic.com/legal/data-processing-addendum
• Sub-processor Anthropic: anthropic.com/subprocessors
• Privacy Policy: anthropic.com/privacy

La lista completa e aggiornata dei sub-processor utilizzati dalla piattaforma StartApp è disponibile alla pagina dedicata /legal/subprocessors, con dettaglio su ubicazione, finalità, garanzie e link ai rispettivi DPA.

4. Stripe (Pagamenti):

• Elaborazione pagamenti e gestione degli abbonamenti
• Funzionalità: payment processing, billing, fraud detection
• Ruolo: Sub-processore
• Ubicazione: USA (trasferimento internazionale)
• Conformità: PCI-DSS Level 1 certified
• Garanzie: Standard Contractual Clauses (SCC)
• Dati NON archiviati: numeri di carta di credito interi, CVC
• Privacy Policy: https://stripe.com/privacy

5. Autorità Pubbliche:

• Comunicazioni obbligatorie a forze dell'ordine, giudici, Agenzia delle Entrate, Guardia di Finanza, su richiesta legittima
• Conservazione dati per scopi fiscali e contabili

Nessuna Condivisione Non Autorizzata: Il Titolare NON vende, affitta, condivide o trasferisce i dati personali a terze parti per finalità di marketing, profilazione pubblicitaria o altre finalità commerciali senza il consenso esplicito e separato dell'Utente. Qualsiasi condivisione diversa da quelle sopra indicate è vietata.

5. Trasferimenti Internazionali (Extra-UE)

Alcuni Sub-processori hanno sede negli Stati Uniti (Anthropic, Vercel, Stripe). Qualsiasi trasferimento di dati personali verso il territorio degli USA o verso Paesi al di fuori dello Spazio Economico Europeo (SEE) avviene in conformità alle seguenti garanzie legali:

• Standard Contractual Clauses (SCC): Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione 2021/915 e precedenti) che stabiliscono impegni vincolanti sulla protezione dei dati
• Adequacy Decisions: Quando disponibili, decisioni di adeguatezza della Commissione Europea

Il Titolare ha implementato le misure supplementari richieste dalla sentenza Schrems II della CGUE per garantire un livello di protezione adeguato. Gli Utenti hanno diritto di richiedere copia dei meccanismi di trasferimento internazionale contattando admin@arcanozero.com.

Catena di notifica data breach: in caso di violazione presso un Sub-processore, le tempistiche sono: (a) Sub-processore → Titolare entro 48 ore (clausola DPA), (b) Titolare → Garante per la protezione dei dati personali entro 72 ore (art. 33 GDPR), (c) Titolare → Utenti interessati senza ingiustificato ritardo quando la violazione comporta un rischio elevato per i diritti e le libertà delle persone fisiche (art. 34 GDPR).

6. Periodi di Conservazione dei Dati

Il Titolare conserva i dati personali secondo i seguenti periodi:

A. Dati di Account e Profilo: Per tutta la durata dell'account attivo + 30 giorni dopo la cancellazione (periodo di grazia per il recupero). Dopo 30 giorni, i dati sono eliminati permanentemente.

B. Dati di Progetto e Documenti Generati: Per tutta la durata dell'account attivo. Eliminati entro 30 giorni dalla cancellazione dell'account. L'Utente può richiedere l'esportazione dei dati prima della cancellazione.

C. Documenti e File Caricati: Conservati fino a quando l'Utente non li elimina manualmente. Eliminati entro 30 giorni dalla cancellazione dell'account.

D. Dati di Fatturazione e Pagamento: Conservati per 10 anni ai sensi degli obblighi fiscali italiani (Codice della Privacy, leggi sul segreto commerciale, art. 2220 Codice Civile). Tale periodo è obbligatorio per legge e non può essere ridotto.

E. Log AI e Agent Runs: Conservati per 90 giorni a scopi di troubleshooting e miglioramento del Servizio. Successivamente anonimizzati.

F. Dati di Navigazione e Telemetria: Conservati per un massimo di 26 mesi per analisi di sicurezza, performance e rilevamento abusi. I log più vecchi di 26 mesi sono automaticamente eliminati.

G. Email e Comunicazioni di Supporto: Conservate per 3 anni a scopo di dispute resolution e customer service. Successivamente eliminate.

H. Cookie e Tracking: Vedi sezione Cookie Policy per dettagli su durata e gestione.

Eccezioni per Obblighi Legali: Qualora il Titolare sia obbligato da legge, tribunale, autorità pubblica o altra disposizione normativa a conservare dati per periodi superiori, la conservazione continuerà fino al venir meno dell'obbligo legale. L'Utente sarà informato ove possibile.

7. Diritti dell'Interessato (Artt. 15-22 GDPR)

L'Utente ha i seguenti diritti sulla base del GDPR, esercitabili contattando il Titolare:

A. Diritto di Accesso (Art. 15 GDPR): Ottenere conferma se i dati sono trattati, accedere ai dati personali, alle finalità, ai destinatari, al periodo di conservazione e ad altre informazioni rilevanti. È possibile richiedere una copia dei dati in formato leggibile.

B. Diritto di Rettifica (Art. 16 GDPR): Correggere dati personali inesatti, incompleti o obsoleti. È possibile modificare la maggior parte dei dati direttamente dall'Account.

C. Diritto di Cancellazione / Diritto all'Oblio (Art. 17 GDPR): Richiedere la cancellazione dei dati personali, salvo dove il Titolare abbia obblighi legali di conservazione (es. dati fiscali per 10 anni). La cancellazione avverrà entro 30 giorni.

D. Diritto di Limitazione del Trattamento (Art. 18 GDPR): Richiedere di limitare il trattamento dei dati (ad esempio, marcando i dati come "non processare") mentre vengono verificate contestazioni o esercitati altri diritti.

E. Diritto di Portabilità dei Dati (Art. 20 GDPR): Ricevere i propri dati in formato strutturato, comunemente utilizzato e leggibile da macchina (es. JSON, CSV, XML), con possibilità di trasferirli a un altro servizio. L'endpoint di esportazione GDPR è disponibile in Account > GDPR Data Export.

F. Diritto di Opposizione (Art. 21 GDPR): Opporsi al trattamento dei dati per finalità di marketing, profilazione o interesse legittimo. La revoca avrà effetto immediato per le finalità di marketing.

G. Diritto di Revoca del Consenso (Art. 7 GDPR): Revocare il consenso per il trattamento in qualsiasi momento, senza pregiudizio per la liceità del trattamento effettuato prima della revoca. È possibile gestire le preferenze di consenso dall'Account o tramite link in email.

H. Diritti Relativi al Processo Decisionale Automatizzato (Art. 22 GDPR): Non esiste profilazione o decisione automatizzata che produca effetti legali o significativi sulla base della sola elaborazione automatizzata dei dati. Il Titolare non utilizza tale profilazione.

Modalità di Esercizio dei Diritti: Per esercitare qualsiasi diritto, inviare una richiesta scritta a:

Email: admin@arcanozero.com
Indirizzo: Via Alessandro Torlonia n. 16, 00161 Roma (RM)
PEC: arcanozero@legalmail.it

Nella richiesta, specificare il diritto da esercitare e fornire informazioni sufficienti per identificare l'interessato.

Risposta Entro 30 Giorni: Il Titolare fornirà una risposta entro 30 giorni dalla ricezione della richiesta (art. 12 GDPR). In caso di richieste complesse, il termine può essere esteso di ulteriori 60 giorni, con comunicazione al richiedente.

Diritto di Ricorso: L'Utente ha diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (Ufficio del Garante della Privacy, Piazza di Monte Citorio n. 121, 00186 Roma) se ritiene che il trattamento violi i diritti riconosciuti dal GDPR. Contatti: www.garanteprivacy.it, reclamo@gpdp.it

8. Misure di Sicurezza

Il Titolare implementa misure tecniche e organizzative appropriate per proteggere i dati personali dal rischio di distruzione, perdita, alterazione, divulgazione o accesso non autorizzato, in conformità all'art. 32 GDPR:

Misure Tecniche:

• Crittografia in transito: TLS 1.3 per tutte le comunicazioni tra client e server
• Crittografia a riposo: dati critici (password, dati sensibili) memorizzati in forma criptata
• Hashing delle password: algoritmo bcrypt con salt casuale
• Autenticazione sicura: JWT (JSON Web Tokens) con firma digitale
• Row Level Security (RLS): policy database che impedisce a un Utente di accedere ai dati di altri Utenti
• Rate limiting: protezione contro brute force, DDoS e abusi
• Security headers: HSTS, CSP, X-Frame-Options, X-Content-Type-Options
• Firewall applicativo: protezione contro SQL injection, XSS, CSRF
• Backup regolari: snapshot quotidiani della base dati su storage ridondante
• Monitoraggio e logging: tracciamento degli accessi, alerting su anomalie
• Isolamento infrastruttura: dati ospitati su server dedicati con isolamento tra Utenti

Misure Organizzative:

• Accesso limitato: solo personale autorizzato ha accesso ai sistemi e ai dati
• Accordi di confidenzialità: tutti gli impiegati e i fornitori firmano accordi NDA
• Formazione privacy: team addestrato su GDPR, sicurezza, gestione incidenti
• Procedure di sicurezza: protocolli documentati per accesso ai dati, incident response, disaster recovery
• Revisioni e audit: test di sicurezza regolari, penetration testing, code review
• Data Protection Impact Assessment (DPIA): valutazioni sistematiche dei rischi
• Incident response plan: procedura per identificare, segnalare e mitigare data breach

Responsabilità dell'Utente: L'Utente è responsabile di mantenere la riservatezza delle proprie credenziali di accesso e di notificare immediatamente il Titolare in caso di accesso non autorizzato al proprio account.

9. Cookie

Per informazioni sull'utilizzo dei cookie, consulta la nostra Cookie Policy.

9. Minori di 18 Anni

Il Servizio non è destinato a persone di età inferiore a 18 anni. Il Titolare non raccoglie consciamente dati da minori. Se viene a conoscenza che dati di minori sono stati raccolti senza consenso del genitore/tutore, provvederà a eliminarli entro 30 giorni. I genitori che ritengono che dati dei loro figli siano stati raccolti possono contattare admin@arcanozero.com.

10. Modifiche alla Privacy Policy

Il Titolare si riserva il diritto di aggiornare la presente Informativa sulla Privacy. Le modifiche sostanziali saranno comunicate via email e/o tramite avviso banner sulla piattaforma con almeno 30 giorni di preavviso. Modifiche minori (correzioni grammaticali, chiarimenti non sostanziali, aggiornamenti legali di scarso impatto) possono essere applicate senza preavviso.

La data dell'ultimo aggiornamento è indicata in cima al documento. L'utilizzo continuato del Servizio dopo la comunicazione di modifiche costituisce accettazione della Informativa aggiornata.

11. Contatti e Informazioni di Contatto

Per domande, richieste, lagnanze o comunicazioni relative alla presente Informativa sulla Privacy e al trattamento dei dati personali:

Titolare del Trattamento:
ARCANO ZERO – AI LAB SRL
Via Alessandro Torlonia n. 16, 00161 Roma (RM)
P.IVA / C.F.: 18432281006
Email: admin@arcanozero.com
PEC: arcanozero@legalmail.it

Responsabile della Protezione dei Dati (DPO):
Email: admin@arcanozero.com
(Disponibile per questioni riguardanti il trattamento dei dati personali)

Il Titolare farà ogni sforzo per rispondere a tutte le richieste entro 30 giorni lavorativi.