Privacy Policy
Ultimo aggiornamento: 14 maggio 2026
1. Titolare del Trattamento
Il Titolare del Trattamento dei dati personali raccolti tramite la piattaforma FlowTools è:
Ezio Tomassetti
Paese di residenza: Italia
Contatto privacy: eziotomassetti@tiscali.it
L'indirizzo fisico completo del Titolare è disponibile su richiesta scritta all'indirizzo email sopra indicato. Per qualsiasi questione relativa al trattamento dei tuoi dati personali puoi scrivere a eziotomassetti@tiscali.it.
Il Titolare non è tenuto alla nomina di un Responsabile della Protezione dei Dati (DPO) in quanto persona fisica che non effettua trattamento su larga scala di categorie particolari di dati ai sensi dell'Art. 37 GDPR.
2. Normativa di Riferimento
Il trattamento dei dati personali avviene nel rispetto di:
- Regolamento UE 2016/679 (GDPR — Regolamento Generale sulla Protezione dei Dati)
- D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali), come modificato dal D.Lgs. 101/2018
- Direttiva 2002/58/CE (Direttiva ePrivacy) e relative norme di recepimento nazionali
- Linee Guida Cookie e altri strumenti di tracciamento — Provvedimento del Garante per la Protezione dei Dati Personali n. 231 del 10 giugno 2021
- EDPB Guidelines 02/2022 (rev. 2023) — Applicazione del GDPR ai sistemi di intelligenza artificiale generativa
- Decisione di esecuzione (UE) 2021/914 della Commissione Europea (Clausole Contrattuali Standard)
- Decisione di adeguatezza UE-US Data Privacy Framework — Decisione CE del 10 luglio 2023
3. Dati Personali Raccolti
3.1 Dati forniti direttamente dall'utente
- Indirizzo email — fornito in fase di registrazione, usato per autenticazione e comunicazioni di servizio
- Password — fornita in fase di registrazione; conservata esclusivamente in forma di hash crittografico (bcrypt), mai in chiaro
3.2 Dati raccolti automaticamente
- Token di sessione — generato automaticamente al login, conservato come cookie tecnico nel browser per mantenere la sessione autenticata
- Indirizzo IP — registrato temporaneamente per finalità di sicurezza (prevenzione abusi e rate limiting); non associato al profilo utente in modo permanente
3.3 Dati relativi ai file caricati
I file (PDF, immagini, documenti) caricati nell'area workspace sono memorizzati su Supabase Storage (region eu-central-1, Francoforte, Germania) e accessibili esclusivamente all'utente proprietario o ai destinatari di link di condivisione esplicitamente creati dall'utente. Il Titolare non analizza il contenuto di tali file se non su esplicita richiesta dell'utente tramite funzionalità AI (vedi §8).
4. Finalità e Basi Giuridiche del Trattamento
| Finalità | Dato | Base giuridica (GDPR Art. 6) | Conservazione |
|---|---|---|---|
| Registrazione e autenticazione | Email, password hash | Esecuzione del contratto (Art. 6(1)(b)) | Durata account + 30 giorni |
| Erogazione del servizio workspace | Email, file caricati | Esecuzione del contratto (Art. 6(1)(b)) | Durata account / configurabile |
| Sicurezza e prevenzione abusi | Indirizzo IP | Interesse legittimo (Art. 6(1)(f)) | Max 30 giorni |
| Comunicazioni di servizio (es. reset password) | Esecuzione del contratto (Art. 6(1)(b)) | Durata account | |
| Elaborazione AI documenti (su richiesta utente) | Contenuto documenti inviati al provider AI | Esecuzione del contratto (Art. 6(1)(b)) | Durata elaborazione + sessione corrente |
| Gestione abbonamento e pagamenti (futuro) | Email, dati fatturazione | Esecuzione del contratto + obbligo legale (Art. 6(1)(b)(c)) | Normativa fiscale vigente (10 anni) |
5. Destinatari e Sub-Responsabili del Trattamento
I dati personali possono essere comunicati ai seguenti soggetti che agiscono in qualità di Responsabili del Trattamento (Data Processor) ai sensi dell'Art. 28 GDPR:
| Fornitore | Servizio | Sede / Server | Trasferimento extra-UE | Garanzie |
|---|---|---|---|---|
| Supabase Inc. | Database, autenticazione, storage file | Francoforte, DE (eu-central-1) | No — dati in UE | DPA Supabase (supabase.com/privacy) |
| Render Inc. | Hosting applicazione web | USA | Sì | SCC Dec. 2021/914 + DPA Render |
| Stripe Inc. (futuro) | Gestione pagamenti e abbonamenti | USA | Sì | SCC Dec. 2021/914 + DPA Stripe + EU-US DPF |
| Provider AI (vedi §8) | Elaborazione documenti tramite LLM (solo su richiesta utente) | Variabile (vedi §8) | Variabile (vedi §8) | SCC e/o DPA specifici per provider (vedi §8) |
I dati non sono ceduti a terzi per finalità di marketing o profilazione.
6. Trasferimenti Extra-UE
Supabase (database, autenticazione, storage): i dati sono ospitati su server in Francoforte, Germania (eu-central-1). Non si configura trasferimento extra-UE per questo fornitore.
Render Inc. (hosting applicazione): sede negli Stati Uniti. Il trasferimento avviene mediante Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea con Decisione 2021/914 e relativo DPA.
Provider AI: i trasferimenti verso provider con sede extra-UE avvengono mediante SCC e, ove applicabile, il framework EU-US Data Privacy Framework (Decisione CE del 10 luglio 2023). Per i dettagli per ciascun provider vedi §8.
7. Periodo di Conservazione
- Email e password hash — per tutta la durata dell'account, più 30 giorni dalla cancellazione volontaria
- File workspace — configurabile dall'utente tramite impostazioni di retention; eliminati su richiesta o alla cancellazione account
- Log IP — massimo 30 giorni
- Contenuto elaborazioni AI — durata dell'elaborazione + sessione corrente; non conservato in modo persistente dal Titolare oltre la sessione (salvo funzionalità di cronologia esplicita)
- Dati fatturazione (futuro, Stripe) — per il periodo previsto dalla normativa fiscale vigente (10 anni per documenti contabili)
8. Trattamento Dati tramite Modelli di Intelligenza Artificiale
FlowTools integra funzionalità di intelligenza artificiale (PDF Assistant, Template Fill AI, Agenti AI configurabili). Quando l'utente utilizza tali funzionalità, il contenuto testuale o documentale oggetto dell'elaborazione viene trasmesso al provider di modelli linguistici (LLM) attivo in quel momento.
8.1 Cosa transita verso i provider AI
- Il contenuto del documento o del testo su cui l'utente richiede l'elaborazione AI (testo estratto da PDF, prompt, istruzioni)
- Non vengono inviati ai provider AI: email dell'utente, password, dati di account, metadati di fatturazione
- L'utente è responsabile di non inserire nelle richieste AI dati personali sensibili di terzi (categorie speciali ex Art. 9 GDPR: dati di salute, origine etnica, orientamento sessuale, dati biometrici, ecc.) senza adeguate misure di minimizzazione
8.2 Provider AI attivi e garanzie
| Provider | Modello (esempio) | Sede | Trasferimento extra-UE | Garanzie | Nota training |
|---|---|---|---|---|---|
| Google LLC (DeepMind) | Gemini 1.5 Flash — modello predefinito (piano gratuito) | USA | Sì | SCC Dec. 2021/914 + Google Cloud DPA + EU-US DPF | Nel piano gratuito Google può usare i dati per miglioramento del modello, salvo opt-out tramite DPA/impostazioni account Google Cloud |
| OpenAI LLC | GPT-4o, GPT-4o-mini (se configurato da admin) | USA | Sì | SCC + OpenAI DPA (Zero Data Retention opzionale) | I dati inviati via API non vengono usati per training per impostazione predefinita |
| Anthropic PBC | Claude 3.x (se configurato da admin) | USA | Sì | SCC + Anthropic DPA | I dati inviati via API non vengono usati per training per impostazione predefinita |
| Mistral AI SAS | Mistral-7B, Mixtral (se configurato da admin) | Francia (UE) | No — sede in UE | DPA Mistral AI | Server in UE, nessun trasferimento extra-UE |
| Altri provider | Configurabili da admin | Variabile | Variabile | Verificare nella sezione Admin → Config AI | Il provider attivo è visibile nella sezione impostazioni della funzionalità AI |
8.3 Configurabilità del provider AI
Il provider AI attivo è configurabile dagli amministratori della piattaforma nella sezione Admin → Configurazione Agenti. Il modello predefinito è Google Gemini 1.5 Flash (piano gratuito). Gli utenti con piano AI possono visualizzare il provider correntemente attivo nelle impostazioni della funzionalità in uso.
8.4 Conservazione presso i provider AI
I provider AI non conservano i contenuti trasmessi tramite API oltre il tempo necessario all'elaborazione della risposta, fatta eccezione per quanto previsto nei rispettivi DPA (es. log di sicurezza per periodi limitati). Il Titolare non conserva i messaggi delle sessioni AI in forma persistente, salvo funzionalità di cronologia conversazioni esplicitamente attivata dall'utente.
9. Decisioni Automatizzate e Profilazione
FlowTools non effettua profilazione degli utenti né prendedecisioni automatizzate che producano effetti giuridici o significativi sull'utente ai sensi dell'Art. 22 GDPR.
Le funzionalità AI analizzano i documenti esclusivamente su richiesta esplicita dell'utente e producono un output informativo soggetto a revisione umana. Non vengono creati profili individuali persistenti basati sull'analisi dei contenuti elaborati.
10. Diritti dell'Interessato
Ai sensi degli Artt. 15–22 GDPR, hai il diritto di:
- Accesso (Art. 15) — ottenere conferma che siano trattati dati che ti riguardano e riceverne copia
- Rettifica (Art. 16) — ottenere la correzione di dati inesatti
- Cancellazione ("diritto all'oblio") (Art. 17) — ottenere la cancellazione dei tuoi dati, salvo obblighi legali contrari
- Limitazione del trattamento (Art. 18) — ottenere la limitazione del trattamento in determinate circostanze
- Portabilità (Art. 20) — ricevere i tuoi dati in formato strutturato e leggibile da macchina
- Opposizione (Art. 21) — opporti al trattamento basato su interesse legittimo
- Non essere soggetto a decisioni automatizzate (Art. 22) — come indicato al §9, FlowTools non effettua tali decisioni
- Revoca del consenso — dove il trattamento è basato sul consenso, revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento precedente
Per esercitare i tuoi diritti scrivi a eziotomassetti@tiscali.it. Risponderemo entro 30 giorni dalla ricezione della richiesta (termine prorogabile di ulteriori 60 giorni in caso di complessità, con notifica entro il primo mese).
11. Diritto di Reclamo
Hai il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (autorità di controllo italiana), raggiungibile all'indirizzo: www.garanteprivacy.it
12. Cookie
Per informazioni dettagliate sui cookie utilizzati da questo sito, consulta la nostra Cookie Policy.
13. Modifiche alla Privacy Policy
Il Titolare si riserva il diritto di modificare questa informativa. Le modifiche saranno pubblicate su questa pagina con aggiornamento della data in cima al documento. Per le modifiche sostanziali, gli utenti registrati saranno notificati via email con congruo preavviso.