— Informativa ex artt. 13-14 GDPR —

Privacy Policy

Ultimo aggiornamento: 4 luglio 2026 — Versione 1.2

La presente informativa descrive le modalità di trattamento dei dati personali degli Utenti che utilizzano il sito dallamaga.com ("il Servizio"), ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018. Il Servizio è offerto su base anonima: non è previsto alcun account utente, alcuna registrazione, alcuna profilazione.

— Titolare del trattamento —
Denominazione
Akula Dev Team
Sede
Montecatini Terme (PT) — Italia
Partita IVA
IT02135800478
Email di contatto
[email protected]
Responsabile protezione dati
Non nominato (non sussistono i requisiti di obbligatorietà ex art. 37 GDPR)

A tutela della riservatezza del titolare, il nome e cognome completi e l'indirizzo completo della sede sono sempre disponibili su richiesta, scrivendo all'indirizzo email [email protected]. La richiesta riceve riscontro tempestivo.

— Indice —
  1. Categorie di dati raccolti
  2. Finalità e basi giuridiche
  3. Conservazione dei dati
  4. Natura effimera delle sessioni
  5. Destinatari e sub-processori
  6. Trasferimenti extra-UE
  7. Cookie e tecnologie simili
  8. Sicurezza del trattamento
  9. Diritti dell'interessato
  10. Minori
  11. Reclamo al Garante
  12. Modifiche alla policy

01 Categorie di dati raccolti

Il Servizio è progettato per minimizzare la raccolta di dati personali (principio di data minimisation ex art. 5, par. 1, lett. c) GDPR). Vengono trattate esclusivamente le seguenti categorie:

Dati di navigazione (tecnici)

Indirizzo IP, user-agent del browser, tipo e versione del sistema operativo, lingua impostata, timestamp di accesso, pagine visitate, riferimento (HTTP referer). Questi dati sono raccolti automaticamente dai sistemi informatici per il corretto funzionamento del Servizio, per finalità statistiche aggregate e di sicurezza (rilevazione abusi, anti-frode, anti-bot).

Dati di sessione

Identificativo tecnico della sessione (token effimero memorizzato lato client), Sibilla selezionata, modalità di interazione (voce/testo), timestamp di inizio e fine sessione, durata residua del credito acquistato.

Contenuto delle conversazioni

Testo digitato dall'Utente, trascrizione vocale (in modalità voce), risposte generate dall'intelligenza artificiale, carte simboliche estratte. Tali contenuti sono processati in tempo reale ed elaborati esclusivamente per il tempo strettamente necessario alla generazione della risposta. Per il dettaglio sui tempi di conservazione si veda la sezione 03.

Dati vocali (modalità voce)

In modalità vocale, l'avvio della sessione richiede l'autorizzazione del browser all'accesso al microfono. Lo stream audio catturato è trasmesso in tempo reale, in forma cifrata, ai fornitori di intelligenza artificiale per la sola finalità di speech-to-text (trascrizione automatica in tempo reale) e text-to-speech (sintesi della risposta vocale).

La voce dell'Utente è trattata esclusivamente per le finalità sopra indicate e non è utilizzata per identificare univocamente l'Utente: di conseguenza, ai sensi dell'art. 4, n. 14 GDPR e delle Linee guida EDPB 3/2019, non costituisce dato biometrico e non rientra nelle categorie particolari di dati ex art. 9 GDPR. Lo stream audio non è registrato, conservato, archiviato o utilizzato per addestrare modelli vocali, né per finalità di profilazione.

Per ragioni intrinseche al funzionamento del microfono, lo stream può catturare rumori di sfondo, voci di terzi presenti, suonerie o contenuti audio di altri dispositivi. Tali contenuti, ove involontariamente captati, sono trattati con la stessa logica di effimeralità prevista per la voce dell'Utente. La responsabilità della loro liceità (consenso dei terzi presenti) ricade in via esclusiva sull'Utente, ai sensi dei Termini di Servizio.

Dati di pagamento

Email di fatturazione (facoltativa, indicata in fase di acquisto del pacchetto), pacchetto acquistato, importo, identificativo della transazione Stripe, esito del pagamento. I dati della carta di credito non transitano dai server del titolare: sono raccolti, custoditi ed elaborati direttamente da Stripe Payments Europe Limited in qualità di titolare autonomo del trattamento.

Dati fiscali (eventuali)

In caso di richiesta di fattura elettronica: denominazione o nome e cognome, codice fiscale e/o partita IVA, codice destinatario o PEC, indirizzo di fatturazione.

Comunicazioni dirette al titolare

Email inviate dall'Utente all'indirizzo [email protected]: contenuto del messaggio, eventuali allegati, indirizzo email del mittente.

Dati che il titolare NON raccoglie e NON desidera ricevere. Il Servizio non richiede e non desidera ricevere categorie particolari di dati ai sensi dell'art. 9 GDPR (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, alla vita sessuale o all'orientamento sessuale) né dati relativi a condanne penali o reati (art. 10 GDPR). L'Utente è invitato a non condividere tali informazioni durante le sessioni; in ogni caso, la natura effimera del trattamento (vedi sezione 03) garantisce la rapida cessazione di qualsiasi contatto del titolare con tali dati.

02 Finalità e basi giuridiche

I dati raccolti sono trattati per le seguenti finalità, ciascuna fondata su una specifica base giuridica ai sensi dell'art. 6 GDPR:

Erogazione
Fornire all'Utente le sessioni di consulto richieste, gestire la sessione tecnica, generare le risposte. Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b) GDPR).
Pagamenti
Elaborare i pagamenti per i pacchetti acquistati, gestire rimborsi e contestazioni. Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b) GDPR).
Obblighi fiscali
Emettere ricevute o fatture, conservare la documentazione fiscale e contabile. Base giuridica: obbligo di legge (art. 6, par. 1, lett. c) GDPR — D.P.R. 633/1972, art. 2220 c.c.).
Sicurezza
Prevenire frodi, abusi, attacchi informatici, uso automatizzato del Servizio. Base giuridica: legittimo interesse del titolare alla protezione del Servizio e degli Utenti (art. 6, par. 1, lett. f) GDPR).
Statistiche aggregate
Analisi statistiche aggregate e anonime sull'utilizzo del Servizio per finalità di miglioramento. Base giuridica: legittimo interesse del titolare (art. 6, par. 1, lett. f) GDPR).
Difesa in giudizio
Accertare, esercitare o difendere un diritto del titolare in sede giudiziale o stragiudiziale. Base giuridica: legittimo interesse (art. 6, par. 1, lett. f) GDPR).
Comunicazioni di servizio
Rispondere alle email di contatto inviate dall'Utente. Base giuridica: esecuzione di misure precontrattuali su richiesta dell'Utente (art. 6, par. 1, lett. b) GDPR) o legittimo interesse.

Il conferimento dei dati strettamente necessari all'erogazione del Servizio è obbligatorio: il rifiuto comporta l'impossibilità di utilizzare il Servizio. Il conferimento dei dati relativi alla fatturazione elettronica è facoltativo, salvo richiesta espressa dell'Utente.

03 Conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono raccolti, secondo i seguenti tempi massimi:

Conversazioni
Durata della sessione. Il contenuto testuale e vocale dei consulti viene processato in tempo reale ed eliminato al termine della sessione (vedi sezione 04).
Log tecnici
Fino a 30 giorni dalla generazione, per finalità di sicurezza, anti-frode e diagnostica.
Dati di sessione
Fino al consumo del credito o per 60 giorni dall'acquisto del pacchetto, oltre i quali il credito decade.
Dati di pagamento
10 anni dalla data della transazione, ai sensi degli obblighi civilistici e fiscali (art. 2220 c.c., D.P.R. 600/1973).
Dati fiscali
10 anni dall'emissione del documento fiscale, ai sensi della normativa tributaria.
Email ricevute
Fino a 24 mesi dalla data di ricezione, salvo necessità di conservazione più lunga per esigenze di difesa in giudizio.
Prova accettazione ToS
Fino a 10 anni dall'accettazione, ai fini probatori della stipula contrattuale (art. 2946 c.c.).

Decorsi tali termini, i dati sono cancellati o resi anonimi in modo irreversibile.

04 Natura effimera delle sessioni

Il Servizio è progettato secondo il principio della privacy by design (art. 25 GDPR), in modo da minimizzare strutturalmente la conservazione del contenuto delle conversazioni:

Tale architettura comporta una conseguenza importante per l'Utente: non è possibile recuperare il contenuto di una sessione passata. Si invita l'Utente che desideri conservare traccia della propria sessione a salvarne autonomamente copia durante lo svolgimento (screenshot o trascrizione manuale), nel rispetto delle previsioni di cui all'art. 9 dei Termini di Servizio sulla proprietà intellettuale dei contenuti generati.

Questa scelta progettuale è motivata dal fatto che le conversazioni con le Sibille possono toccare argomenti personali e intimi: la non-conservazione strutturale garantisce all'Utente la massima riservatezza possibile, ben oltre quanto strettamente richiesto dalla normativa.

05 Destinatari e sub-processori

Per l'erogazione del Servizio, il titolare si avvale di soggetti terzi qualificati che operano in qualità di responsabili del trattamento (art. 28 GDPR) o di titolari autonomi, ciascuno regolato da apposito accordo (Data Processing Agreement o equivalente). I sub-processori utilizzati alla data della presente versione sono:

Stripe Payments Europe Limited

Ruolo: elaborazione dei pagamenti elettronici.

Sede: Irlanda (Unione Europea).

Qualifica: titolare autonomo del trattamento per i dati di pagamento ai sensi della propria privacy policy.

Fornitori di intelligenza artificiale

Ruolo: generazione delle risposte testuali e vocali a partire dagli input dell'Utente.

Sede: Stati Uniti d'America (al di fuori dell'Unione Europea).

Qualifica: responsabili del trattamento ex art. 28 GDPR per i dati trasmessi via API commerciale.

Il titolare seleziona fornitori che, alla data della presente versione, dichiarano nelle proprie condizioni applicabili al canale API commerciale: (a) di non utilizzare gli input e gli output trasmessi per addestrare i propri modelli; (b) di applicare politiche di conservazione tecnica dei dati limitata e finalizzata esclusivamente alla sicurezza del servizio; (c) di garantire la conformità al GDPR mediante Standard Contractual Clauses approvate dalla Commissione Europea.

L'elenco aggiornato dei fornitori AI attualmente utilizzati è disponibile su richiesta scrivendo all'indirizzo [email protected]. Il titolare verifica periodicamente la persistenza delle condizioni sopra richiamate.

Riferimenti pubblici delle politiche AI: privacy.claude.com (Anthropic) — x.ai/legal (xAI)
Cloudflare, Inc.

Ruolo: CDN, protezione DDoS, ottimizzazione di rete, DNS.

Sede: Stati Uniti d'America.

Trasferimento extra-UE: Standard Contractual Clauses ai sensi dell'art. 46 GDPR; Data Processing Addendum di Cloudflare automaticamente applicabile.

Provider di hosting e infrastruttura

Ruolo: hosting dei server applicativi del Servizio.

Sede: Unione Europea (Italia — datacenter Milano).

Qualifica: responsabile del trattamento ex art. 28 GDPR.

Il titolare si riserva il diritto di modificare, sostituire o aggiungere sub-processori dandone comunicazione preventiva tramite aggiornamento della presente policy con preavviso minimo di 30 giorni in caso di modifiche sostanziali. L'Utente che si opponga motivatamente a un nuovo sub-processore può richiedere la cessazione del Servizio e il rimborso del credito residuo non utilizzato.

06 Trasferimenti extra-UE

Alcuni sub-processori (Cloudflare, fornitori di intelligenza artificiale) hanno sede negli Stati Uniti d'America, paese al di fuori dello Spazio Economico Europeo. Il trasferimento dei dati personali verso tali soggetti avviene sulla base delle seguenti garanzie ai sensi del Capo V GDPR:

Politica di non-training dei fornitori AI

Particolare attenzione è prestata ai fornitori di intelligenza artificiale, le cui condizioni applicabili al canale API commerciale alla data della presente versione prevedono espressamente che i dati trasmessi (input e output, testuali e vocali) non sono utilizzati per addestrare i modelli, salvo opt-in espresso del cliente. Il titolare non ha prestato e non presterà tale opt-in per il Servizio. La conservazione tecnica dei prompt presso i fornitori AI è limitata a brevi periodi finalizzati esclusivamente alla sicurezza del servizio e all'individuazione di abusi.

Trasferimento dei flussi audio in tempo reale

Le sessioni in modalità vocale comportano la trasmissione in tempo reale di stream audio verso i fornitori di intelligenza artificiale con sede negli Stati Uniti. Tale trasferimento avviene in forma cifrata (TLS 1.2 o superiore), con le medesime garanzie giuridiche previste per il dato testuale (Standard Contractual Clauses art. 46 GDPR, eventuale Data Privacy Framework). Lo stream audio è elaborato in streaming: né il file audio in ingresso né quello in uscita vengono trattenuti dai fornitori oltre il tempo strettamente necessario al servizio di speech-to-text e text-to-speech, come dichiarato dalle loro policy applicabili.

L'Utente può ottenere copia delle garanzie applicate (Standard Contractual Clauses, attestazioni di adesione al Data Privacy Framework) scrivendo all'indirizzo [email protected].

08 Sicurezza del trattamento

Il titolare adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza proporzionato al rischio, tra cui:

Nonostante le misure adottate, nessun sistema informatico può essere considerato assolutamente sicuro: in caso di violazione che possa comportare un rischio elevato per i diritti e le libertà degli interessati, il titolare provvederà alle comunicazioni previste dagli artt. 33 e 34 GDPR.

09 Diritti dell'interessato

L'Utente, in qualità di interessato ai sensi del GDPR, può esercitare in qualsiasi momento e gratuitamente i seguenti diritti:

Art. 15 — Accesso
Ottenere conferma del trattamento e copia dei dati personali che lo riguardano.
Art. 16 — Rettifica
Chiedere la correzione di dati inesatti o l'integrazione di dati incompleti.
Art. 17 — Cancellazione
Chiedere la cancellazione dei dati nei casi previsti dalla normativa (cd. "diritto all'oblio").
Art. 18 — Limitazione
Chiedere la limitazione del trattamento nei casi previsti.
Art. 20 — Portabilità
Ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico.
Art. 21 — Opposizione
Opporsi al trattamento basato sul legittimo interesse del titolare.
Art. 22 — Decisioni automatizzate
Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici. Il Servizio non adotta tali decisioni.
Art. 7 — Revoca consenso
Revocare in qualsiasi momento il consenso eventualmente prestato, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.

Per esercitare i propri diritti, l'Utente può scrivere all'indirizzo [email protected] specificando: (a) la natura del diritto esercitato; (b) gli elementi che consentano di identificare la posizione di interessato (ad esempio, indirizzo email utilizzato per l'acquisto, identificativo della transazione Stripe, data e orario approssimativo della sessione). Il titolare risponderà entro 30 giorni dalla ricezione, prorogabili di ulteriori 60 in caso di particolare complessità, dandone comunicazione all'interessato.

Limite tecnico all'esercizio dei diritti sulle conversazioni. Poiché il contenuto dei consulti non viene conservato (vedi sezione 04), il titolare non sarà materialmente in grado di fornire copia o cancellazione di tali contenuti dopo il termine della sessione, in quanto già non più presenti nei propri sistemi. Sui dati conservati (transazioni, log tecnici, comunicazioni email) i diritti sono pienamente esercitabili nei termini di legge.

10 Minori

Il Servizio è riservato esclusivamente a soggetti che abbiano compiuto la maggiore età ai sensi della normativa italiana applicabile. Il titolare non raccoglie consapevolmente dati personali di minori.

Qualora il titolare venga a conoscenza del fatto che un soggetto minorenne ha utilizzato il Servizio rendendo dichiarazioni non veritiere in fase di accettazione dei Termini, provvederà tempestivamente alla cancellazione di tutti i dati a lui riferibili, fatta salva la conservazione dei dati strettamente necessari per assolvere obblighi di legge e per la difesa in giudizio.

I genitori o gli esercenti la responsabilità genitoriale che ritengano che un proprio figlio minore abbia utilizzato il Servizio sono invitati a segnalarlo tempestivamente all'indirizzo [email protected].

11 Reclamo all'Autorità di controllo

L'Utente che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali, secondo le modalità e i termini stabiliti dall'art. 77 GDPR e dal D.Lgs. 196/2003.

Garante per la protezione dei dati personali

Sede: Piazza Venezia 11, 00187 Roma

Centralino: +39 06 696771

Email: [email protected]PEC: [email protected]

Sito: www.garanteprivacy.it

L'Utente residente in altro Stato membro dell'Unione Europea può proporre reclamo all'Autorità di controllo del proprio paese di residenza, di lavoro o del luogo in cui si è verificata la presunta violazione. In particolare: per la Francia, la CNIL — Commission Nationale de l'Informatique et des Libertés (cnil.fr); per la Germania, l'Autorità per la protezione dei dati del Land di residenza o il BfDI (bfdi.bund.de).

12 Modifiche alla policy

La presente Privacy Policy può essere modificata in qualsiasi momento per adeguarla a nuovi requisiti normativi, all'evoluzione del Servizio o all'introduzione di nuovi sub-processori. Le modifiche saranno pubblicate su questa pagina con indicazione della data di entrata in vigore e della nuova versione.

In caso di modifiche sostanziali che incidano significativamente sui diritti degli interessati, il titolare provvederà a darne comunicazione tramite avviso evidente sul sito con almeno 30 giorni di anticipo rispetto all'entrata in vigore.

Si invita l'Utente a consultare periodicamente la presente policy per essere sempre informato sulle modalità di trattamento dei propri dati.