INFORMATIVA SULLA PRIVACY

1. TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento dei dati personali è:

2. TIPOLOGIE DI DATI RACCOLTI

2.1 Dati forniti volontariamente dall'utente

Durante la registrazione e l'utilizzo del servizio, raccogliamo i seguenti dati personali:

• Dati identificativi: nome, cognome, indirizzo email
• Credenziali di accesso: password (crittografata con algoritmo bcrypt)
• Dati di pagamento: gestiti esclusivamente da Stripe Inc. (non memorizziamo dati di carte di credito)
• Dati di fatturazione: informazioni necessarie per l'emissione di fatture elettroniche
• Dati di affiliazione (se applicabile): codice referral, IBAN/SWIFT per pagamenti commissioni

2.2 Dati raccolti automaticamente

Durante la navigazione e l'utilizzo del servizio, raccogliamo automaticamente:

• Dati tecnici: indirizzo IP, user agent, tipo di browser, sistema operativo
• Dati di utilizzo: timestamp di accesso, pagine visitate, azioni eseguite
• Dati di sessione: cookie tecnici necessari per il funzionamento del servizio
• Log di sistema: registrazioni automatiche per sicurezza e debugging

2.3 Dati generati dall'utilizzo del servizio

• Contenuti generati: video, prompt, parametri di generazione
• Cronologia delle generazioni: timestamp, stato, risultati
• Statistiche di utilizzo: numero di generazioni, crediti utilizzati
• Notifiche: preferenze e storico notifiche

3. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO

3.1 Finalità contrattuali (art. 6, par. 1, lett. b GDPR)

• Erogazione del servizio: creazione e gestione dell'account utente
• Esecuzione del contratto: fornitura dell'accesso alla piattaforma di generazione video
• Gestione pagamenti: elaborazione transazioni tramite Stripe
• Assistenza clienti: supporto tecnico e risposta a richieste
• Gestione affiliazione: tracciamento referral, calcolo commissioni, pagamenti

Base giuridica: esecuzione del contratto di cui l'interessato è parte (art. 6, par. 1, lett. b GDPR).

3.2 Finalità di legge (art. 6, par. 1, lett. c GDPR)

• Obblighi fiscali: emissione fatture elettroniche, conservazione documenti contabili
• Obblighi contabili: registrazioni contabili obbligatorie per legge
• Antiriciclaggio: adempimenti previsti dal D.Lgs. 231/2007 (se applicabile)

Base giuridica: adempimento di obblighi di legge (art. 6, par. 1, lett. c GDPR).

3.3 Finalità di sicurezza (art. 6, par. 1, lett. f GDPR)

• Prevenzione frodi: rilevamento attività sospette, self-referral, abusi
• Sicurezza informatica: protezione da accessi non autorizzati, attacchi informatici
• Integrità del servizio: monitoraggio performance, risoluzione problemi tecnici
• Tracciamento IP: identificazione tentativi di frode nel sistema di affiliazione

Base giuridica: legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR).

4. MODALITÀ DI TRATTAMENTO

4.1 Misure di sicurezza adottate

• Crittografia: password crittografate con bcrypt, dati sensibili crittografati con AES-256
• Protocollo HTTPS: tutte le comunicazioni sono protette con certificato SSL/TLS
• Autenticazione sicura: sistema NextAuth con token JWT, sessioni protette
• Backup regolari: copie di sicurezza del database con crittografia
• Accesso limitato: solo personale autorizzato può accedere ai dati
• Monitoraggio: log di accesso e attività sospette
• Firewall e protezioni: infrastruttura protetta contro attacchi informatici

4.2 Conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti:

• Dati contrattuali: per tutta la durata del contratto + 10 anni (obblighi fiscali)
• Dati di fatturazione: 10 anni dalla data di emissione (art. 2220 c.c.)
• Dati di affiliazione: fino alla liquidazione delle commissioni + 10 anni
• Log di sicurezza: massimo 12 mesi, salvo necessità di difesa in giudizio

5. COMUNICAZIONE E DIFFUSIONE DEI DATI

5.1 Responsabili del trattamento (art. 28 GDPR)

• Stripe Inc. (USA): elaborazione pagamenti - Privacy Policy
• Supabase Inc. (USA): hosting database - Privacy Policy
• Vercel Inc. (USA): hosting applicazione - Privacy Policy
• Provider SMTP: invio email transazionali e notifiche

Tutti i Responsabili del trattamento sono vincolati da contratti che garantiscono adeguate misure di sicurezza e conformità al GDPR.

5.2 Trasferimento dati extra-UE

Alcuni fornitori di servizi (Stripe, Supabase, Vercel) hanno sede negli Stati Uniti d'America.

Il trasferimento dei dati è effettuato in conformità al GDPR mediante:

• Clausole contrattuali standard approvate dalla Commissione Europea (art. 46 GDPR)
• Garanzie adeguate previste dagli artt. 44-49 GDPR

I dati NON sono diffusi pubblicamente né venduti a terze parti per finalità commerciali.

6. DIRITTI DELL'INTERESSATO

Ai sensi degli artt. 15-22 del GDPR, l'interessato ha diritto di:

• Diritto di accesso (art. 15): ottenere conferma dell'esistenza di dati personali e ricevere copia degli stessi
• Diritto di rettifica (art. 16): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti
• Diritto alla cancellazione (art. 17): ottenere la cancellazione dei dati personali ("diritto all'oblio"), salvo obblighi di legge
• Diritto di limitazione (art. 18): ottenere la limitazione del trattamento in caso di contestazione
• Diritto alla portabilità (art. 20): ricevere i dati in formato strutturato (JSON, CSV)
• Diritto di opposizione (art. 21): opporsi al trattamento per motivi legittimi
• Diritto di revoca del consenso (art. 7): revocare il consenso in qualsiasi momento
• Diritto di reclamo (art. 77): proporre reclamo al Garante Privacy

Modalità di esercizio dei diritti

Per esercitare i diritti sopra elencati, l'interessato può:

1. Inviare richiesta via email a: privacy@aixygen.com
2. Inviare richiesta via PEC a: aixygen@pec.it
3. Accedere alle impostazioni account nella sezione "Privacy e Dati"

Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta.

7. GARANTE PRIVACY

8. CONTATTI

Per qualsiasi informazione relativa al trattamento dei dati personali: