Informativa sul Trattamento dei Dati Personali

La presente informativa descrive come Guglielmo Scandurra, titolare del trattamento, raccoglie, utilizza e protegge i dati personali degli utenti che accedono alla piattaforma Nexo Agency (di seguito "la Piattaforma"), disponibile all'indirizzo https://nexoagency.it. La Piattaforma e un servizio SaaS rivolto sia a utenti finali (B2C) che a clienti business (B2B).

1Titolare del Trattamento

Dati del Titolare

Nome e cognome: Guglielmo Scandurra

Codice fiscale: SCNGLL00T06C351V

Partita IVA: 06276330872

Regime fiscale: forfettario (L. 190/2014, art. 1 co. 58-63)

Sede: 95124 Catania (CT), Italia

Email: [email protected]

PEC: [email protected]

Telefono: +39 328 543 3566

Per qualsiasi richiesta relativa al trattamento dei dati personali, l'utente può contattare il Titolare all'indirizzo email sopra indicato.

2Dati Personali Raccolti

La Piattaforma raccoglie le seguenti categorie di dati personali:

Dati forniti direttamente dall'utente in fase di registrazione:

Nome e cognome
Indirizzo email
Numero di telefono
Dati di fatturazione (per clienti business: ragione sociale, P.IVA, indirizzo)

Dati raccolti automaticamente durante l'utilizzo della Piattaforma:

Indirizzo IP e dati di connessione (log del server)
Identificativi di sessione (token di autenticazione)
Dati relativi all'utilizzo delle funzionalità della Piattaforma
Timestamp di accesso e attività

Dati relativi ai pagamenti:

Dati della carta di credito/debito e dati di pagamento (trattati direttamente da Stripe — il Titolare non ha accesso ai dati completi della carta)
Storico delle transazioni e degli abbonamenti

Dati relativi alle comunicazioni tramite WhatsApp:

Numero di telefono WhatsApp Business del cliente
Contenuto dei messaggi inviati e ricevuti tramite la funzionalità WhatsApp della Piattaforma

Contenuti elaborati tramite intelligenza artificiale:

Testi, richieste e contenuti inseriti dall'utente che vengono processati dall'API di Anthropic (Claude AI) per fornire le funzionalità della Piattaforma

3Finalità del Trattamento e Basi Giuridiche

a) Erogazione del servizio (base giuridica: esecuzione del contratto – art. 6.1.b GDPR)

Creazione e gestione dell'account utente
Autenticazione e sicurezza dell'accesso
Erogazione delle funzionalità della Piattaforma (agenti AI, automazioni, gestione siti clienti)
Gestione degli abbonamenti e dei pagamenti
Comunicazioni di servizio (notifiche tecniche, aggiornamenti, fatture)

b) Adempimento di obblighi legali (base giuridica: obbligo legale – art. 6.1.c GDPR)

Conservazione dei dati fiscali e contabili
Adempimenti antiriciclaggio e fiscali
Risposta a richieste di autorità competenti

c) Legittimo interesse del Titolare (base giuridica: legittimo interesse – art. 6.1.f GDPR)

Sicurezza della Piattaforma e prevenzione delle frodi
Log e monitoraggio del sistema per la stabilità del servizio
Gestione del supporto tecnico

d) Consenso dell'utente (base giuridica: consenso – art. 6.1.a GDPR)

Invio di comunicazioni promozionali o newsletter (solo previo consenso esplicito)
Utilizzo di cookie non tecnici (qualora presenti in futuro)

4Responsabili del Trattamento e Terze Parti

Il Titolare si avvale dei seguenti fornitori di servizi terzi, nominati Responsabili del Trattamento ai sensi dell'art. 28 GDPR, oppure operanti come titolari autonomi:

Supabase Inc.

Responsabile del Trattamento — Database e Autenticazione

Fornisce il database e il sistema di autenticazione degli utenti. I dati includono credenziali di accesso, profilo utente e dati applicativi. Il Titolare ha selezionato la region europea (EU West) per la conservazione dei dati.

Stripe Inc.

Titolare Autonomo — Pagamenti e Abbonamenti

Gestisce i pagamenti, gli abbonamenti e le transazioni finanziarie. I dati di pagamento (numero carta, dati bancari) sono trattati direttamente da Stripe che opera come titolare autonomo del trattamento. Il Titolare riceve solo dati di conferma della transazione. Stripe può trasferire dati negli USA sulla base delle Standard Contractual Clauses (SCCs).

Anthropic PBC

Responsabile del Trattamento — Intelligenza Artificiale

Fornisce le API di Claude AI utilizzate per l'elaborazione di testi, la generazione di contenuti e le funzionalità degli agenti intelligenti della Piattaforma. I contenuti inseriti dagli utenti possono essere trasmessi alle API di Anthropic per l'elaborazione. Anthropic dichiara nei propri Termini di Servizio API di non utilizzare le richieste API per addestrare i propri modelli. Il trasferimento avviene negli USA sulla base delle Standard Contractual Clauses (SCCs).

Meta Platforms Ireland Ltd. — WhatsApp Cloud API

Co-Titolare del Trattamento — Messaggistica WhatsApp Business

Utilizzata per le funzionalità di comunicazione tramite WhatsApp Business. Meta agisce come co-titolare del trattamento per i dati relativi ai messaggi e ai numeri di telefono. I dati possono essere trasferiti negli USA sulla base delle Standard Contractual Clauses (SCCs).

Railway Corp.

Responsabile del Trattamento — Hosting Backend

Fornisce l'infrastruttura di hosting per il backend della Piattaforma (server Node.js). I server sono ubicati negli Stati Uniti. Il trasferimento di dati verso gli USA avviene sulla base delle Standard Contractual Clauses (SCCs) ai sensi dell'art. 46 GDPR.

Cloudflare Inc.

Responsabile del Trattamento — CDN e Infrastruttura

Utilizzato per il deploy e la distribuzione dei siti. Cloudflare può registrare indirizzi IP e dati di connessione degli utenti finali per finalità di sicurezza e ottimizzazione. I log sono conservati per un periodo limitato secondo le policy di Cloudflare.

5Trasferimento di Dati verso Paesi Terzi

Alcuni fornitori di servizi di cui si avvale la Piattaforma (Railway, Anthropic, Stripe, Meta/WhatsApp) hanno sede negli Stati Uniti d'America. Il trasferimento dei dati personali verso tali paesi avviene nel rispetto delle garanzie previste dal GDPR, in particolare:

Standard Contractual Clauses (SCCs) approvate dalla Commissione Europea ai sensi dell'art. 46, par. 2, lett. c) GDPR
Eventuali decisioni di adeguatezza della Commissione Europea, ove applicabili

L'utente può richiedere al Titolare copia delle garanzie adottate contattando l'indirizzo email indicato all'art. 1.

6Cookie e Tecnologie di Tracciamento

La Piattaforma utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio. In particolare:

Cookie di sessione Supabase (sb-access-token, sb-refresh-token): necessari per mantenere l'autenticazione dell'utente durante la navigazione. Sono cookie tecnici esenti dall'obbligo di consenso preventivo.
Cookie Stripe (__stripe_mid, __stripe_sid): impostati da Stripe per finalità di sicurezza antifrode durante le operazioni di pagamento. Sono cookie tecnici di sicurezza.
Preferenze utente: cookie locali per ricordare le impostazioni di interfaccia (lingua, tema, stato pannello). Dati tecnici esenti da consenso.

La Piattaforma non utilizza cookie di profilazione, cookie pubblicitari o strumenti di analytics che tracciano il comportamento degli utenti su siti terzi.

Per ulteriori informazioni sui cookie, si rimanda alla Cookie Policy disponibile all'indirizzo https://nexoagency.it/cookie.

7Periodo di Conservazione dei Dati

Dati dell'account utente: conservati per tutta la durata del rapporto contrattuale e per i 10 anni successivi alla cessazione del servizio, ai fini degli obblighi fiscali e contabili (D.P.R. 633/1972).
Dati di pagamento e fatturazione: conservati per 10 anni dalla data della transazione ai sensi della normativa fiscale italiana.
Log di sistema: conservati per un massimo di 12 mesi dalla registrazione.
Contenuti elaborati tramite AI: non conservati permanentemente dal Titolare al di là di quanto necessario per l'erogazione del servizio in sessione. Fare riferimento alla policy di Anthropic per i tempi di conservazione lato API.
Messaggi WhatsApp: conservati per il tempo necessario all'erogazione del servizio di automazione richiesto dal cliente.
Consenso alla privacy: il timestamp del consenso prestato al momento della registrazione è conservato per tutta la durata del rapporto e per i 5 anni successivi, ai fini di accountability.

8Diritti dell'Interessato

Ai sensi degli artt. 15–22 del GDPR, l'utente ha il diritto di:

Accesso (art. 15)

Ottenere conferma che sia in corso un trattamento e ricevere copia dei dati personali trattati.

Rettifica (art. 16)

Richiedere la correzione di dati inesatti o l'integrazione di dati incompleti.

Cancellazione (art. 17)

Richiedere la cancellazione dei propri dati ("diritto all'oblio"), salvo obblighi legali di conservazione.

Limitazione (art. 18)

Richiedere la limitazione del trattamento in determinati casi previsti dalla norma.

Portabilità (art. 20)

Ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico.

Opposizione (art. 21)

Opporsi al trattamento dei propri dati basato sul legittimo interesse del Titolare.

Revoca del consenso

Revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento precedente.

Reclamo (art. 77)

Proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

Per esercitare i propri diritti, l'utente può inviare una richiesta scritta all'indirizzo email del Titolare indicato all'art. 1. Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta (termine estendibile a 90 giorni in casi di particolare complessità).

Nota: La cancellazione dell'account comporta la cancellazione dei dati dell'utente dalla Piattaforma, fatti salvi i dati che devono essere conservati per obbligo di legge (es. dati fiscali e di fatturazione, conservati per 10 anni).

9Misure di Sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione accidentale, tra cui:

Cifratura delle comunicazioni tramite protocollo HTTPS/TLS
Hashing delle password tramite i sistemi di Supabase Auth (bcrypt)
Accesso ai dati limitato al solo personale autorizzato
Autenticazione basata su token JWT con scadenza automatica
Backup regolari gestiti dall'infrastruttura Supabase
Separazione degli ambienti di sviluppo e produzione

In caso di violazione dei dati (data breach) che comporti un rischio elevato per i diritti degli interessati, il Titolare notificherà gli utenti interessati senza ingiustificato ritardo, ai sensi dell'art. 34 GDPR.

10Minori

La Piattaforma non è destinata a persone di età inferiore a 18 anni. Il Titolare non raccoglie consapevolmente dati personali di minori. Qualora venisse a conoscenza di aver ricevuto dati da un minore senza il consenso del genitore o tutore, procederà alla cancellazione di tali dati nel più breve tempo possibile.

11Modifiche alla presente Informativa

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, in particolare in caso di variazioni normative o di aggiornamenti ai servizi offerti. Le modifiche saranno comunicate agli utenti registrati tramite email e/o tramite avviso nella Piattaforma con almeno 15 giorni di anticipo rispetto all'entrata in vigore.

La versione aggiornata sara sempre disponibile all'indirizzo https://nexoagency.it/privacy con indicazione della data di ultima modifica. L'utilizzo continuato della Piattaforma dopo la data di entrata in vigore delle modifiche costituisce accettazione della nuova informativa.