Privacy Policy

Il titolare del trattamento dei dati personali è:

Vickey S.r.l.
Sede legale: Via di Affogalasino 34, 00148 Roma, Italia
P.IVA: 17286301001
R.E.A.: RM-1708455
Email contatto: support@getaconsultant.io

Per esercitare i diritti previsti dal GDPR (artt. 15-22) puoi scrivere all'email sopra indicata.

Consultant raccoglie e tratta i seguenti dati personali:

a) Dati di account

• Email (obbligatoria per autenticazione)
• Nome visualizzato (opzionale, da profilo Google se signup OAuth)
• User ID generato dal sistema di autenticazione (Supabase)

b) Dati di utilizzo del servizio

• Contenuti caricati dall'utente: transcript di intervista, brief di progetto, note testuali, file caricati (PDF, DOCX, XLSX, TXT)
• Risultati elaborati dall'AI: stakeholders identificati, ipotesi, mappe di processo, brief di discovery generati
• Metadati progetto: nome, cliente, sponsor, date di creazione/aggiornamento
• Cronologia chat con l'AI assistant

c) Dati tecnici

• Indirizzo IP (anonimizzato dopo 30 giorni)
• User agent del browser
• Log di accesso e uso del servizio
• Cookie tecnici essenziali (vedi /legal/cookies)

d) Dati di feedback (volontari)

• Messaggi inviati tramite widget feedback in-app

Il trattamento dei dati è basato su:

• Contratto: dati account + dati di utilizzo necessari per fornire il servizio (art. 6.1.b GDPR)
• Legittimo interesse: dati tecnici per sicurezza, prevenzione abusi, miglioramento del servizio (art. 6.1.f GDPR)
• Consenso: cookie analytics e marketing (art. 6.1.a GDPR + ePrivacy)

• Dati account: conservati per la durata dell'account, eliminati entro 30 giorni dalla cancellazione
• Contenuti utente (transcript, brief, progetti): 90 giorni di default (configurabile in futuro). Dopo 90 giorni archiviazione o anonimizzazione automatica.
• Snapshot pre-cycle: 90 giorni per recovery
• Log tecnici: 12 mesi per esigenze di sicurezza e audit
• Dati di feedback: 24 mesi, poi anonimizzati

L'utente ha diritto a:

• Accesso: richiedere copia dei propri dati personali (art. 15)
• Rettifica: correggere dati inesatti (art. 16)
• Cancellazione (diritto all'oblio): cancellare il proprio account e tutti i dati associati (art. 17). Funzione self-service disponibile in /settings/account (CASCADE delete: profilo, workspace, progetti, transcript caricati, snapshot, log AI; rimangono solo audit log e feedback anonimizzati per obblighi art. 30 GDPR record-keeping). In alternativa, richiesta via email a support@getaconsultant.io.
• Limitazione: limitare il trattamento in determinate circostanze (art. 18)
• Portabilità: ricevere i propri dati in formato strutturato JSON (art. 20). Richiesta tramite support@getaconsultant.io.
• Opposizione: opporsi al trattamento basato su legittimo interesse (art. 21)
• Reclamo: presentare reclamo al Garante Privacy italiano (garanteprivacy.it)

Per fornire il servizio Consultant utilizza i seguenti fornitori (data processors), tutti GDPR-compliant:

• Supabase (Stati Uniti + EU): database, autenticazione, storage
• Anthropic (Stati Uniti): elaborazione AI dei contenuti — Anthropic NON utilizza i dati clienti per training
• Vercel (Stati Uniti + EU): hosting + CDN
• Sentry (Stati Uniti): error monitoring (no PII)
• Inngest (Stati Uniti): orchestrazione job asincroni
• (Futuro) Resend: email transazionali
• (Futuro) Stripe: elaborazione pagamenti

Trasferimenti extra-EU coperti da Standard Contractual Clauses (SCC) approvate dalla Commissione Europea.

Consultant utilizza:

• Cookie tecnici essenziali (sessione, autenticazione) — sempre attivi
• Cookie di analytics (es. Sentry error tracking) — solo previo consenso

Dettagli completi e gestione preferenze: /legal/cookies

Misure tecniche e organizzative implementate:

• Crittografia in transito (TLS 1.3) e at-rest (AES-256 Supabase)
• Multi-tenancy con Row Level Security PostgreSQL
• Autenticazione OAuth 2.0 (Google) + email/password con hashing bcrypt
• Audit log degli accessi e operazioni critiche
• Backup automatici giornalieri (Supabase)
• Disaster recovery procedure documentata (RPO 24h, RTO 4h)

ATTENZIONE: i transcript caricati dall'utente possono contenere dati personali di terze persone (intervistati, stakeholder aziendali). L'utente dichiara di:

• Aver ottenuto consenso informato dai soggetti intervistati
• Aver informato gli intervistati che il contenuto sarà processato da AI per analisi consulenziale
• Mantenere la propria responsabilità come data controller verso i terzi i cui dati carica nel servizio

Consultant agisce come data processor per questi dati di terzi, ai sensi dell'art. 28 GDPR. DPA con i clienti disponibile su richiesta a support@getaconsultant.io.

Eventuali modifiche saranno notificate via email almeno 30 giorni prima dell'entrata in vigore. La versione corrente è sempre accessibile su /legal/privacy con data di ultimo aggiornamento.