Informativa sulla Privacy
Ultimo aggiornamento: 30 aprile 2026
La presente Informativa descrive come Ombra (di seguito, "Titolare") raccoglie, utilizza e protegge i dati personali degli utenti del servizio, in conformità al Regolamento (UE) 2016/679 ("GDPR") e al Codice della Privacy italiano (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018).
1. Titolare del trattamento
Il Titolare del trattamento è Luca Lombardi, in procinto di apertura partita IVA quale ditta individuale italiana — dati legali completi (P.IVA, sede, REA) saranno pubblicati qui ad attivazione, prevista entro maggio 2026. Per ogni richiesta puoi scrivere a privacy@ombrachat.it o hello@ombrachat.it.
Stai usando Ombra durante la fase beta pubblica: il servizio è gratuito (trial 14 giorni) e in fase di consolidamento legale. Se hai esigenze contrattuali B2B prima della formalizzazione, contattaci e proseguiamo via PEC/email firmata.
2. Tipologie di dati trattati
Il Titolare tratta le seguenti categorie di dati:
- Dati di registrazione: email, nome, cognome, password (memorizzata in forma hashata).
- Dati di fatturazione: ragione sociale, P.IVA, indirizzo, dati pagamento (gestiti tramite Stripe — non memorizziamo numeri di carta).
- Dati di utilizzo: log di accesso, indirizzo IP, user agent, pagine visitate.
- Dati delle conversazioni del bot: messaggi scambiati tra il bot e gli utenti finali del cliente, metadati estratti (intent, sentiment, dati lead).
- Dati della knowledge base: contenuti caricati dal cliente (PDF, URL scansionati, FAQ manuali).
3. Finalità e basi giuridiche
| Finalità | Base giuridica | Conservazione |
|---|---|---|
| Erogazione del servizio | Esecuzione contratto (art. 6.1.b GDPR) | Durata abbonamento + 30gg |
| Fatturazione e adempimenti fiscali | Obbligo legale (art. 6.1.c GDPR) | 10 anni (D.Lgs. 471/97) |
| Sicurezza e prevenzione frodi | Legittimo interesse (art. 6.1.f GDPR) | 12 mesi |
| Comunicazioni di servizio (transazionali) | Esecuzione contratto | Durata abbonamento |
| Marketing diretto (opzionale) | Consenso esplicito | Fino a revoca |
4. Conservazione dei dati
I dati vengono conservati per il tempo strettamente necessario alle finalità sopra indicate. In particolare:
- Conversazioni e lead: 30 giorni dopo la cancellazione dell'account, salvo richiesta esplicita di esportazione o cancellazione anticipata.
- Backup di sicurezza: 30 giorni con cancellazione automatica successiva.
- Audit log: 12 mesi per finalità di sicurezza e analisi forense.
5. Soggetti destinatari (responsabili esterni / sub-processor)
Per erogare il servizio, il Titolare si avvale dei seguenti responsabili esterni che trattano i dati per suo conto, tutti coperti da DPA conforme art. 28 GDPR:
| Fornitore | Finalità | Localizzazione |
|---|---|---|
| Vercel Inc. | Hosting frontend (CDN Edge) | USA (SCC 2021/914) |
| Fly.io Inc. | Hosting backend (server Frankfurt) | USA HQ, server UE (SCC) |
| Supabase Inc. | Database PostgreSQL | USA HQ, DB UE Frankfurt (SCC) |
| Upstash Inc. | Cache Redis | USA, region Ireland (SCC) |
| Clerk Inc. | Autenticazione + gestione utenti | USA (SCC) |
| Stripe Payments Europe Ltd. | Pagamenti (PCI-DSS) | Irlanda (UE) |
| Sendinblue SA (Brevo) | Email transazionali | Francia (UE) |
| Anthropic PBC | Modello AI Claude (chat principale) | USA (SCC, zero data retention API) |
| OpenAI Inc. | Embeddings semantici | USA (SCC, zero data retention API) |
| Groq Inc. | Estrazione lead (modello Llama) | USA (SCC) |
| Sentry | Error tracking (no dati personali) | USA (SCC) |
La lista versionata con changelog è pubblicata e mantenuta a ombrachat.it/sub-processors. Notifichiamo via email almeno 30 giorni prima di ogni modifica rilevante.
6. Trasferimenti extra-UE
Per i piani Standard e Pro, alcuni sub-responsabili (Clerk per l'autenticazione) hanno sede negli USA: i trasferimenti sono basati su Clausole Contrattuali Standard approvate dalla Commissione Europea. Per il piano Business è disponibile un'opzione hosting interamente UE-sovrana che esclude qualsiasi trasferimento extra-UE.
7. Diritti dell'utente
Ai sensi degli artt. 15-22 del GDPR, l'utente ha diritto a:
- Accedere ai propri dati personali
- Ottenere la rettifica di dati inesatti
- Ottenere la cancellazione dei dati ("diritto all'oblio")
- Limitare il trattamento
- Ottenere la portabilità dei dati in formato strutturato e leggibile da macchina
- Opporsi al trattamento per finalità di marketing
- Revocare il consenso in qualsiasi momento
- Proporre reclamo al Garante per la Protezione dei Dati Personali (www.gpdp.it)
Per esercitare i diritti è possibile usare gli strumenti self-service in dashboard (sezione Privacy) o scrivere a privacy@ombrachat.it. Risposta entro 30 giorni come previsto dal GDPR.
8. Sicurezza
Adottiamo misure tecniche e organizzative adeguate al rischio: cifratura TLS 1.3 in transito, AES-256 a riposo, audit log, backup giornalieri, accesso limitato per principio del minimo privilegio, formazione periodica del personale, verifiche di sicurezza regolari.
9. Cookie
L'uso dei cookie è disciplinato dalla Cookie Policy dedicata.
10. Modifiche all'informativa
Il Titolare può aggiornare la presente Informativa per riflettere modifiche al servizio o alla normativa. Le versioni precedenti restano archiviate e consultabili su richiesta. In caso di modifiche sostanziali, gli utenti registrati saranno notificati via email almeno 30 giorni prima dell'entrata in vigore.
11. Contatti
Per qualsiasi domanda relativa al trattamento dei dati personali: privacy@ombrachat.it.