Privacy Policy
1. Titolare del trattamento
Alessandro Veneziano, in proprio (avstudio), Italia.
Email: privacy@avstudio.ai
P.IVA / CF: comunicato su richiesta a privacy@avstudio.ai (Art. 13 GDPR, identificazione titolare disponibile).
DPO: non nominato (organizzazione sotto-soglia ex Art. 37 GDPR).
2. Tipi di dati trattati e finalità
2.1 Newsletter
- Email + timestamp consenso
- Finalità: invio newsletter editoriale Osservatorio
- Base giuridica: consenso (Art. 6.1.a GDPR + Garante Provv. 4 luglio 2013 — double opt-in)
- Retention: fino a revoca consenso (unsubscribe link in ogni email)
2.2 DSAR (richiesta diritti)
- Email + tipo richiesta + dettagli
- Finalità: gestione esercizio diritti Art. 15-22 GDPR
- Base giuridica: obbligo legale (Art. 6.1.c)
- Retention: 24 mesi dopo chiusura ticket (audit)
2.3 Analytics anonimi (Plausible self-hosted)
- IP anonimizzato + URL + referer + device class (no fingerprinting, no cookie)
- Finalità: analytics aggregati anonimi
- Base giuridica: legittimo interesse (Art. 6.1.f) — esente consenso ex Garante linee guida 10 giu 2021
- Retention: 24 mesi aggregati
3. Subprocessor (Art. 28 GDPR)
| Subprocessor | Trattamento | Sede | Trasferimento extra-SEE |
|---|---|---|---|
| Cloudflare Inc. | Hosting, edge, Workers, R2, KV, DO | USA | DPF Adequacy 2024 |
| Anthropic PBC | LLM Sonnet (writer/researcher/aggregator) | USA | DPF Adequacy 2024 |
| OpenRouter Inc. | LLM gateway free tier (validatori, judges) | USA | SCC EU 2021/914 Mod.2 + TIA |
| Brave Software Inc. | Web search API (plagio detection) | USA | SCC EU 2021/914 Mod.2 + TIA |
| Resend Inc. | Newsletter delivery | USA | DPF Adequacy 2024 + DPA Art. 28 |
| Telegram FZ-LLC | Admin alert (no PII utenti) | UAE | SCC + TIA (no dati interessati) |
| Plausible Insights OÜ | Analytics anonimi self-hosted | Estonia (UE) | n/a |
| Mistral AI SAS | LLM fallback paid (validatori) | Francia (UE) | n/a |
| Google LLC (Gemini) | LLM fallback (validatori) | USA | DPF Adequacy 2024 |
| Supabase Inc. | Postgres database editorial | USA / Frankfurt EU region | DPF Adequacy 2024 + region EU selected |
| Hetzner Online GmbH | Server VPS (n8n, Plausible self-host) | Germania (UE) | n/a |
| LanguageTool augmented services | Grammar check (self-hosted Coolify) | Germania (UE) | n/a |
Documenti SCC + TIA per OpenRouter e Brave disponibili su richiesta a privacy@avstudio.ai.
4. Diritti dell'interessato (Art. 15-22 GDPR)
- Accesso (Art. 15)
- Rettifica (Art. 16)
- Cancellazione / oblio (Art. 17)
- Limitazione trattamento (Art. 18)
- Portabilità (Art. 20)
- Opposizione (Art. 21)
- Revoca consenso (Art. 7.3) — unsubscribe link in ogni email
- Reclamo Garante Privacy (www.gpdp.it)
Esercizio diritti via form: Modulo DSAR.
Risposta entro 30 giorni (Art. 12.3 GDPR).
5. Trasferimenti extra-SEE
Garanzie: DPF Adequacy 2024 (subprocessor DPF-certified), Standard Contractual Clauses EU 2021/914 Modulo 2 + Transfer Impact Assessment per OpenRouter e Brave. Non utilizziamo deroghe Art. 49.
6. Sicurezza
TLS 1.3 in transito, encryption at-rest Supabase, accesso limitato (RLS),
audit log via blog_admin_actions, backup automatici Hetzner.
7. Modifiche
Aggiornamenti significativi notificati via newsletter + banner sito. Versione corrente sempre disponibile a questo URL.