Privacy Policy

Ultimo aggiornamento: 4 Marzo 2026

In parole semplici

Raccogliamo solo i dati necessari per far funzionare il servizio. I tuoi dati restano in Europa (data center in Belgio), sono protetti con crittografia avanzata e non vengono mai venduti a terzi. L'intelligenza artificiale analizza i tuoi documenti solo quando tu lo chiedi. Puoi esportare o cancellare i tuoi dati in qualsiasi momento dalle impostazioni.

Questa Privacy Policy descrive come Optlyx raccoglie, utilizza e protegge i dati personali degli utenti che visitano il sito web optlyx.com e utilizzano la piattaforma Prisma per la gestione dello studio professionale.

1. Titolare del Trattamento

Optlyx di Paolo Puricelli è responsabile dei tuoi dati. Puoi contattarci a hello@optlyx.com per qualsiasi domanda.

Il Titolare del trattamento dei dati è:

Optlyx di Paolo Puricelli
P.IVA: 02198920023
Sede Legale: Via Belluno 5, 21010 Cardano al Campo (VA), Italia
Email di contatto: hello@optlyx.com

2. Tipologia di Dati Raccolti

Raccogliamo i dati che ci fornisci tu (nome, email), quelli tecnici del browser, e i documenti che carichi sulla piattaforma. Non leggiamo il contenuto delle tue email.

Raccogliamo le seguenti tipologie di dati:

Dati di Navigazione: Indirizzi IP, tipo di browser, orari di accesso (raccolti automaticamente per fini tecnici e di sicurezza).
Dati forniti volontariamente: Nome, email, ragione sociale, partita IVA e altri dati inseriti nei moduli di registrazione, contatto o durante l'utilizzo della piattaforma Prisma.
Dati dei clienti dello studio: Anagrafiche, documenti fiscali, email e allegati caricati dagli utenti per la gestione dello studio. Questi dati sono trattati dal Titolare in qualità di Responsabile del Trattamento per conto dello studio (Data Processor).
Documenti e file: Fatture, contratti, documenti contabili e altri file caricati sulla piattaforma. Di ogni documento viene calcolato un hash crittografico (SHA-256) per garantirne l'integrità, senza accesso al contenuto.
Dati di posta elettronica: Email sincronizzate tramite integrazioni Gmail o Outlook, gestite per conto dell'utente. Il contenuto non viene letto né analizzato da Optlyx, ma può essere elaborato da modelli di intelligenza artificiale su richiesta esplicita dell'utente.
Cookie: Per dettagli sui cookie, consultare la Cookie Policy.

3. Finalità e Base Giuridica

Usiamo i tuoi dati per far funzionare il servizio, gestire i documenti, garantirne l'integrità e migliorare la sicurezza. Mai per scopi che non ti aspetteresti.

Trattiamo i dati per:

Erogazione del Servizio: Permettere la navigazione sul sito e l'utilizzo della piattaforma Prisma (Base giuridica: Esecuzione del contratto).
Gestione documentale: Archiviazione, categorizzazione e ricerca di documenti caricati dall'utente (Base giuridica: Esecuzione del contratto).
Integrità documentale: Calcolo di hash crittografici (SHA-256), certificazione tramite Time Stamp Authority (TSA) conformi a RFC 3161, costruzione di alberi Merkle e ancoraggio opzionale su blockchain Bitcoin via OpenTimestamps, al fine di garantire la data certa e l'immodificabilità dei documenti (Base giuridica: Legittimo interesse e obblighi legali ai sensi del CAD - D.Lgs. 82/2005 e del Reg. UE 910/2014 eIDAS).
Elaborazione tramite Intelligenza Artificiale: Categorizzazione automatica delle email, classificazione dei documenti, generazione di bozze di risposta e analisi fiscale, utilizzando modelli AI (Google Gemini). L'elaborazione AI avviene solo su richiesta o configurazione dell'utente. Tutte le decisioni AI sono registrate in un audit trail trasparente conforme ai principi dell'AI Act (Reg. UE 2024/1689) per garantire spiegabilità e non discriminazione (Base giuridica: Consenso esplicito e legittimo interesse).
Audit Trail e Non Ripudio: Registrazione degli accessi ai documenti, delle operazioni di condivisione, delle decisioni AI e delle modifiche per garantire tracciabilità e conformità legale (Base giuridica: Obbligo legale e legittimo interesse).
Risposta a Richieste: Rispondere alle email o ai messaggi inviati dagli utenti (Base giuridica: Misure precontrattuali).
Sicurezza: Prevenire abusi, device fingerprinting per il tracciamento degli accessi ai documenti condivisi e garantire la sicurezza dell'infrastruttura (Base giuridica: Legittimo interesse).

4. Elaborazione tramite Intelligenza Artificiale

L'AI analizza i tuoi documenti solo quando la attivi tu. Puoi disabilitarla in qualsiasi momento. Ogni azione dell'AI viene registrata per trasparenza.

La piattaforma Prisma utilizza modelli di intelligenza artificiale (Google Gemini) per:

Categorizzazione automatica delle email in arrivo
Classificazione e rinomina intelligente dei documenti
Generazione di bozze di risposta (ghost drafts)
Analisi delle scadenze fiscali da comunicazioni PEC
Estrazione dati da fatture e documenti contabili

L'utente può abilitare o disabilitare ciascuna funzionalità AI dalle impostazioni. Nessuna decisione automatizzata viene presa senza supervisione umana. Ogni elaborazione AI viene registrata nell'audit trail con dettagli su: modello utilizzato, input fornito, output generato, livello di confidenza e motivazione della decisione.

I dati inviati ai modelli AI sono trattati secondo le politiche di Google Cloud e non vengono utilizzati per l'addestramento dei modelli.

5. Integrità Documentale e Blockchain

Creiamo un'impronta digitale dei tuoi documenti per dimostrare quando sono stati creati. Nessun contenuto viene scritto sulla blockchain.

Per garantire l'integrità e la data certa dei documenti, la piattaforma implementa:

Hashing SHA-256: Di ogni documento viene calcolato un'impronta digitale crittografica univoca. L'hash non permette di ricostruire il contenuto del documento.
Certificazione TSA (RFC 3161): Gli hash vengono certificati tramite Time Stamp Authority gratuite e conformi allo standard RFC 3161 (FreeTSA.org, DigiCert, Sectigo), ottenendo una marca temporale con valore legale ai sensi dell'art. 41 del Reg. UE 910/2014 (eIDAS).
Merkle Tree: Gli hash dei documenti certificati vengono aggregati quotidianamente in un albero di Merkle (struttura ad albero binario SHA-256) per consentire la verifica efficiente di grandi volumi di documenti.
Ancoraggio Blockchain: La radice dell'albero Merkle può essere ancorata alla blockchain Bitcoin tramite il protocollo OpenTimestamps, ottenendo una prova di esistenza immutabile e verificabile da terzi.

Nessun dato personale o contenuto documentale viene scritto sulla blockchain: viene ancorato unicamente l'hash crittografico della radice Merkle.

6. Hosting e Trasferimento Dati

I tuoi dati sono conservati in un data center Google in Belgio (UE). L'AI viene eseguita in Europa senza trasferire dati fuori dall'UE.

Il sito e la piattaforma Prisma sono ospitati su Google Cloud Platform (Firebase), con data center nella regione europe-west1 (Belgio, UE).

I server per la distribuzione dei contenuti (CDN) possono trovarsi in diverse località globali per garantire la velocità del sito. Google Cloud adotta Clausole Contrattuali Standard (SCC) e misure di sicurezza avanzate per proteggere i dati durante l'eventuale trasferimento fuori dallo Spazio Economico Europeo (SEE), in conformità col GDPR.

Le elaborazioni AI vengono eseguite tramite Google Gemini API nella regione europea, senza trasferimento di dati al di fuori del SEE.

7. Conservazione dei Dati

Conserviamo i tuoi dati solo per il tempo necessario. Quando cancelli l'account, cancelliamo i dati entro 12 mesi.

I dati personali sono conservati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti:

Dati dell'account: Per tutta la durata del rapporto contrattuale e per 12 mesi dalla cancellazione dell'account.
Documenti e archivio: Secondo quanto configurato dall'utente e comunque non oltre quanto previsto dalla legge (es. obblighi fiscali per le fatture: 10 anni).
Certificati di integrità (TSA/Merkle): Conservati a tempo indeterminato in quanto costituiscono prove legali di data certa.
Audit trail: Conservato per 10 anni ai sensi degli obblighi di conservazione documentale (CAD art. 43-44).
Log AI: Conservati per 5 anni ai fini della tracciabilità delle decisioni automatizzate (AI Act art. 12).

7-bis. Classificazione Documenti: Certificazione e Conservazione

Non tutti i documenti richiedono la stessa protezione. I documenti fiscali vengono certificati e conservati per 10 anni. I documenti commerciali hanno protezione standard.

La piattaforma distingue automaticamente i documenti in due categorie in base agli obblighi normativi:

Documenti Soggetti a Certificazione

Conservazione decennale obbligatoria (Art. 2220 C.C.)

Modelli F24 e deleghe di pagamento
Dichiarazioni IVA trimestrali/annuali
Dichiarazioni dei redditi
Contributi previdenziali (INPS, INAIL)
Bilanci approvati
Fatture elettroniche inviate a SDI
Autofatture (TD17/TD18/TD19)

Misure: SHA-256, timestamp TSA (RFC 3161), conservazione con retention lock 10 anni, audit trail immutabile con integrity hash.

Documenti Non Soggetti a Certificazione

Gestione ordinaria — nessun obbligo decennale

Preventivi e offerte commerciali
Comunicazioni generiche
Documenti interni di organizzazione
Bozze e documenti in lavorazione
Corrispondenza ordinaria
Approvazioni commerciali

Misure: Archiviazione cloud standard, audit trail operativo, backup automatici.

Ogni operazione sulla piattaforma — sia su documenti certificati che non — produce un log di audit certificato con timestamp, attore, azione e metadati, consultabile nella sezione Impostazioni della piattaforma.

8. Misure di Sicurezza

Usiamo crittografia di livello bancario, autenticazione a due fattori e backup automatici per proteggere i tuoi dati.

Adottiamo le seguenti misure tecniche e organizzative:

Crittografia dei dati in transito (TLS 1.3) e a riposo (AES-256)
Autenticazione a due fattori (2FA) per gli account utente
Architettura multi-tenant con isolamento dei dati per studio
Hash crittografici SHA-256 per la verifica dell'integrità documentale
Audit trail completo di tutti gli accessi e le modifiche
Backup automatici con retention configurabile
Controllo granulare degli accessi basato su ruoli (RBAC)

9. Diritti dell'Utente

Puoi vedere, modificare, esportare o cancellare i tuoi dati in qualsiasi momento, sia scrivendo a noi sia direttamente dalla piattaforma.

Ai sensi del GDPR (artt. 15-22), l'utente ha diritto di:

Chiedere l'accesso, la rettifica o la cancellazione dei propri dati.
Limitare o opporsi al trattamento.
Richiedere la portabilità dei dati in formato strutturato (JSON/CSV).
Revocare il consenso in qualsiasi momento, incluso il consenso all'elaborazione AI.
Ottenere spiegazioni sulle decisioni automatizzate (art. 22 GDPR e AI Act).
Richiedere l'esportazione completa delle prove di integrità (certificati TSA, prove Merkle, audit trail).

Per esercitare questi diritti, scrivere a: hello@optlyx.com.

L'utente può inoltre esercitare alcuni diritti direttamente dalla piattaforma Prisma, nella sezione Impostazioni → GDPR Center, dove è possibile richiedere l'esportazione o la cancellazione dei propri dati in autonomia.

10. Responsabile del Trattamento (Data Processor)

Quando il tuo studio usa Prisma per gestire i dati dei clienti, lo studio resta il responsabile. Noi siamo solo il fornitore tecnico.

Quando lo studio utilizza Prisma per gestire i dati dei propri clienti, Optlyx agisce in qualità di Responsabile del Trattamento (Data Processor) ai sensi dell'art. 28 del GDPR. Lo studio resta il Titolare del Trattamento dei dati dei propri clienti.

Il contratto di nomina a Responsabile del Trattamento (DPA) è disponibile nella sezione Impostazioni → Privacy & DPA della piattaforma Prisma.

11. Modifiche alla Privacy Policy

Se cambiamo qualcosa di importante in questa policy, te lo comunichiamo via email.

Ci riserviamo il diritto di modificare questa Privacy Policy. Le modifiche saranno pubblicate su questa pagina con aggiornamento della data in alto. Per modifiche sostanziali, gli utenti registrati saranno notificati via email.

Sicurezza & Infrastruttura

Scopri come proteggiamo i tuoi dati