FinchAI di [RAGIONE SOCIALE]
[INDIRIZZO SEDE LEGALE]
P.IVA: [PARTITA IVA]
Email: privacy@finch-ai.it
Per esercitare i tuoi diritti o per qualsiasi questione relativa alla privacy, puoi contattarci all'indirizzo sopra indicato. Non è prevista la nomina di un DPO (Data Protection Officer) in quanto il trattamento non rientra nelle ipotesi previste dall'art. 37 GDPR. Qualora ciò cambiasse, aggiorneremo la presente informativa.
| Categoria | Dati specifici | Fonte |
|---|---|---|
| Dati di registrazione | Nome completo, email, password (hashed) | Forniti dall'utente |
| Dati di autenticazione | Token JWT, segreto TOTP (2FA opzionale) | Generati dal sistema |
| Dati di consenso | Data/ora accettazione ToS e Privacy Policy, versione documento, indirizzo IP, consenso marketing | Raccolti automaticamente alla registrazione |
| Dati finanziari caricati | File Excel / CSV con dati di bilancio, conto economico, stato patrimoniale | Caricati dall'utente |
| Dati di fatturazione | Dati Stripe (email, ID cliente, ID abbonamento, storico fatture) | Forniti dall'utente tramite Stripe |
| Dati di utilizzo | Numero di analisi effettuate, domande AI, PDF generati, timestamp operazioni | Registrati automaticamente |
| Dati tecnici | Indirizzo IP di registrazione, log di accesso (solo in caso di incidente di sicurezza) | Raccolti automaticamente |
Non trattiamo categorie particolari di dati (dati di salute, biometrici, politici, ecc.).
| Finalità | Base giuridica (art. 6 GDPR) |
|---|---|
| Erogazione del Servizio (registrazione, analisi, report) | Esecuzione del contratto (art. 6(1)(b)) |
| Gestione abbonamenti e fatturazione | Esecuzione del contratto (art. 6(1)(b)) |
| Adempimenti fiscali e contabili obbligatori | Obbligo legale (art. 6(1)(c)) |
| Sicurezza della piattaforma e prevenzione frodi | Legittimo interesse (art. 6(1)(f)) |
| Comunicazioni di servizio (aggiornamenti, manutenzione) | Esecuzione del contratto (art. 6(1)(b)) |
| Comunicazioni commerciali e newsletter | Consenso (art. 6(1)(a)) — revocabile in qualsiasi momento |
| Conservazione prova del consenso (log consent) | Obbligo legale + legittimo interesse (art. 6(1)(c)+(f)) |
I tuoi dati possono essere comunicati alle seguenti categorie di destinatari:
Anthropic PBC (548 Market St, San Francisco, CA 94104, USA)
Ruolo: Sub-processor ai sensi dell'Art. 28 GDPR
Finalità: Elaborazione del testo dei file caricati e delle conversazioni per generare analisi finanziarie e report narrativi tramite modelli di intelligenza artificiale (Claude).
Dati trasferiti: Testi estratti dai file finanziari caricati, messaggi della chat AI.
Base giuridica del trasferimento extra-UE: Standard Contractual Clauses (SCC) adottate con decisione della Commissione Europea 2021/914.
Politica di Anthropic: Anthropic non utilizza i dati degli utenti business per addestrare i propri modelli. Per dettagli: anthropic.com/privacy.
Stripe Inc. (354 Oyster Point Blvd, San Francisco, CA 94080, USA)
Ruolo: Sub-processor per la gestione dei pagamenti e abbonamenti.
Dati trasferiti: Email, dati carta di credito (gestiti direttamente da Stripe, mai visti da FinchAI), storico transazioni.
Base giuridica: SCC. Privacy Policy Stripe.
Il Servizio è ospitato su infrastruttura cloud (es. Hetzner/AWS/altri provider EU o con garanzie adeguate). I dati sono conservati in data center con certificazione ISO 27001.
Potremo comunicare dati ad autorità fiscali, giudiziarie o di polizia esclusivamente quando richiesto dalla legge.
Come indicato al punto 4, alcuni dati vengono trasferiti negli USA verso Anthropic e Stripe. Entrambi i trasferimenti avvengono sulla base delle Standard Contractual Clauses (SCC) approvate dalla Commissione Europea con decisione 2021/914, che garantiscono un livello di protezione adeguato ai sensi dell'art. 46 GDPR.
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati account (nome, email, password hashed) | Per tutta la durata del contratto + 2 anni dalla cancellazione |
| Dati finanziari caricati | Per tutta la durata del contratto; cancellati entro 30 giorni dalla chiusura account |
| Dati di fatturazione e fatture | 10 anni (obbligo fiscale art. 2220 c.c.) |
| Log di consenso (timestamp, IP, versione) | 10 anni (necessario per dimostrare il consenso ex art. 7 GDPR) |
| Log di sicurezza | 90 giorni |
| Dati per comunicazioni commerciali | Fino a revoca del consenso |
Ai sensi degli artt. 15-22 GDPR hai il diritto di:
Per esercitare i tuoi diritti scrivi a privacy@finch-ai.it. Risponderemo entro 30 giorni dalla ricezione della richiesta.
Hai inoltre il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (garanteprivacy.it).
FinchAI utilizza esclusivamente cookie tecnici necessari al funzionamento del Servizio (gestione sessione, preferenze tema). Non utilizziamo cookie di profilazione, di terze parti o di tracciamento pubblicitario. Non è richiesto il consenso ai cookie ai sensi del Provvedimento del Garante dell'8 maggio 2014 e delle Linee Guida 2021.
Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati: password hashate con bcrypt, comunicazioni cifrate HTTPS/TLS 1.2+, accessi autenticati con JWT, 2FA opzionale, controllo degli accessi agli ambienti di produzione.
In caso di modifiche sostanziali alla presente informativa, gli utenti saranno notificati per email con almeno 14 giorni di preavviso. La versione aggiornata sarà sempre disponibile su questa pagina con la data di efficacia indicata.