Privacy Policy
1. Titolare del trattamento
Alessandro Veneziano, in proprio (avstudio), Italia.
Email contatti generali: info@avstudio.ai
Email privacy / DSAR: info@avstudio.ai (oggetto: Privacy)
P.IVA / CF: comunicato su richiesta (Art. 13 GDPR, identificazione titolare disponibile).
DPO (Responsabile della Protezione dei Dati): non nominato. avstudio non rientra nei casi di nomina obbligatoria previsti dall'Art. 37 par. 1 GDPR (non è autorità o organismo pubblico, non effettua monitoraggio regolare e sistematico su larga scala, non tratta su larga scala categorie particolari di dati ex Art. 9 né dati relativi a condanne penali); l'obbligo di pubblicazione dei dati di contatto ex Art. 37 par. 7 non trova quindi applicazione. Per ogni questione relativa alla protezione dei dati il riferimento resta il Titolare, Alessandro Veneziano.
2. Dati trattati e finalità
2.1 Form di contatto / richieste preventivo
- Nome, email, telefono (se fornito), descrizione richiesta
- Finalità: rispondere a richieste commerciali e creare proposta
- Base giuridica: misure precontrattuali (Art. 6.1.b GDPR)
- Retention: 24 mesi dall'ultimo contatto (lead non convertito), durata rapporto + 10 anni (cliente, obblighi fiscali Art. 22 DPR 600/73)
2.2 Chiara — assistente AI receptionist
- Conversazione (testo o voce → trascrizione), email/telefono opzionali
- Finalità: assistenza clienti, qualificazione lead, prenotazione
- Base giuridica: misure precontrattuali (Art. 6.1.b) o esecuzione contratto per clienti
- Retention: 12 mesi log conversazione, poi cancellazione automatica
- Trasparenza AI: l'utente è informato che sta dialogando con assistente AI ex Art. 50 AI Act
2.3 Newsletter Osservatorio
- Email + timestamp consenso
- Finalità: invio newsletter editoriale
- Base giuridica: consenso (Art. 6.1.a + Garante Provv. 4 luglio 2013 — double opt-in)
- Retention: fino a revoca consenso (unsubscribe link in ogni email)
2.4 DSAR (esercizio diritti)
- Email + tipo richiesta + dettagli identificativi
- Finalità: gestione esercizio diritti Art. 15-22 GDPR
- Base giuridica: obbligo legale (Art. 6.1.c)
- Retention: 24 mesi dopo chiusura ticket (audit log)
2.5 Analytics anonimi (Plausible self-hosted)
- IP anonimizzato, URL pagina, referer, device class — no fingerprinting, no cookie
- Finalità: analytics aggregati anonimi
- Base giuridica: legittimo interesse (Art. 6.1.f) — esente consenso ex Garante linee guida 10 giugno 2021
- Retention: 24 mesi aggregati
2.6 av audit PRO (audit del sito a pagamento)
- Email (raccolta al checkout) + dominio del sito + risultati dell'audit (punteggi, finding, fatti tecnici, modelli e costi di elaborazione)
- Finalità: esecuzione del servizio di audit acquistato (generazione e consegna del report) e controllo qualità / prevenzione regressioni del servizio
- Base giuridica: esecuzione del contratto (Art. 6.1.b) per la consegna; legittimo interesse (Art. 6.1.f) per il controllo qualità del servizio
- Storage e retention: il report è servito da storage effimero (Cloudflare KV, 7 giorni dal pagamento, fino a 90 giorni se in attesa di recupero operativo). Email, dominio e risultati dell'audit sono inoltre storicizzati nel database del servizio (Supabase, regione UE — Frankfurt) per qualità e regressione. Consenso ex art. 59 lett. m) D.Lgs. 206/2005 + timestamp + IP conservati nei metadata della sessione di pagamento Stripe
- I modelli AI analizzano fatti tecnici deterministici estratti lato server, non dati personali grezzi del sito
- Diritti: cancellazione su richiesta (right-to-erasure Art. 17) scrivendo a info@avstudio.ai; il permalink del report è privato e non indicizzato dai motori di ricerca
3. Subprocessor (Art. 28 GDPR)
avstudio si avvale dei seguenti subprocessor. La lista è aggiornata alla data sopra indicata. Variazioni significative comunicate via banner e (se applicabile) newsletter.
| Subprocessor | Trattamento | Sede | Trasferimento extra-SEE |
|---|---|---|---|
| Cloudflare Inc. | Hosting, edge, Workers, R2, KV, Durable Objects | USA | DPF Adequacy 2024 |
| Anthropic PBC | LLM Sonnet (writer/researcher) | USA | DPF Adequacy 2024 |
| OpenRouter Inc. | LLM gateway (validatori) | USA | SCC EU 2021/914 Mod.2 + TIA |
| Brave Software Inc. | Web search API (plagio detection) | USA | SCC EU 2021/914 Mod.2 + TIA |
| Resend Inc. | Newsletter / mail transazionali | USA | DPF Adequacy 2024 + DPA Art. 28 |
| Telegram FZ-LLC | Admin alert (no PII utenti) | UAE | SCC + TIA |
| Plausible Insights OÜ | Analytics anonimi self-hosted | Estonia (UE) | n/a |
| Mistral AI SAS | LLM fallback paid | Francia (UE) | n/a |
| Google LLC (Gemini) | LLM fallback (validatori) | USA | DPF Adequacy 2024 |
| Supabase Inc. | Postgres database | Frankfurt EU region | DPF Adequacy 2024 |
| Hetzner Online GmbH | Server VPS (n8n, Plausible) | Germania (UE) | n/a |
| LanguageTool | Grammar check self-hosted | Germania (UE) | n/a |
| Zoho Corporation | Casella email aziendale info@avstudio.ai | EU data center | n/a |
Documentazione SCC + TIA per OpenRouter, Brave e Telegram disponibile su richiesta a info@avstudio.ai.
4. Diritti dell'interessato (Art. 15-22 GDPR)
- Accesso (Art. 15)
- Rettifica (Art. 16)
- Cancellazione / oblio (Art. 17)
- Limitazione del trattamento (Art. 18)
- Portabilità (Art. 20)
- Opposizione (Art. 21)
- Revoca del consenso (Art. 7.3) — unsubscribe link in ogni email
- Reclamo Garante Privacy: www.gpdp.it
Esercizio diritti via email a info@avstudio.ai (oggetto: DSAR) o via modulo DSAR Osservatorio.
Risposta entro 30 giorni (Art. 12.3 GDPR), prorogabili di 60 giorni in casi complessi con motivazione.
5. Trasferimenti extra-SEE
Garanzie applicate: DPF Adequacy 2024 (subprocessor DPF-certified), Standard Contractual Clauses EU 2021/914 Modulo 2 + Transfer Impact Assessment per OpenRouter, Brave, Telegram. Non utilizziamo deroghe Art. 49.
6. Sicurezza
TLS 1.3 in transito, encryption at-rest Supabase, accesso limitato (Row Level Security), audit log via tabella blog_admin_actions, backup automatici Hetzner, rotazione credenziali periodica, MFA su tutti gli account amministrativi.
7. AI Act trasparenza
avstudio utilizza sistemi AI generativi (LLM) per: assistente Chiara, generazione contenuti Osservatorio, analisi automazioni. L'utente è sempre informato quando interagisce con un sistema AI. Output AI sottoposti a controllo umano prima di pubblicazione (newsletter, contenuti pubblici). Nessun profiling automatizzato producente effetti giuridici (Art. 22 GDPR).
8. Modifiche
Aggiornamenti significativi notificati via banner sito e (per iscritti newsletter) via email. Versione corrente sempre disponibile a questo URL.
9. Contatti
Email: info@avstudio.ai