Informativa sulla Privacy

Ultimo aggiornamento: 2026-04-20

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali, ai sensi dell'art. 4(7) del Reg. UE 2016/679 ("GDPR"), è una persona fisica con sede in Svizzera:

  • Titolare: Rico Schurter (persona fisica)
  • Indirizzo: Via Alle Vigne 6, 6598 Tenero, Svizzera
  • Email privacy: support@prosvero.com

Il trattamento dei dati segue la normativa svizzera (Legge federale sulla protezione dei dati — nLPD) e, per gli utenti residenti nell'Unione Europea, il GDPR in virtù della decisione di adeguatezza riconosciuta dalla Commissione Europea per la Svizzera (Dec. 2000/518/CE, confermata).

Per richieste privacy (GDPR/nLPD), scrivi a support@prosvero.com (oggetto: "Richiesta privacy" o "GDPR"). Prosvero non è tenuta a nominare un DPO ai sensi dell’art. 37 GDPR in quanto non tratta dati su larga scala né categorie particolari di dati.

Nota informativa — Fase pre-lancio (aggiornato aprile 2026): Prosvero si trova attualmente in fase di pre-lancio commerciale. Ai sensi dell'art. 27 GDPR, il rappresentante nell'Unione Europea sarà designato contestualmente all'attivazione commerciale del servizio e comunicato nella presente informativa. Nelle more della designazione, il titolare risponde direttamente alle richieste degli interessati tramite il contatto privacy sopra indicato, garantendo tempi di risposta entro 30 giorni (art. 12(3) GDPR). Gli interessati possono sempre presentare reclamo al Garante Privacy italiano (www.garanteprivacy.it) o all'IFPDT svizzero (Incaricato federale della protezione dei dati e della trasparenza, www.edoeb.admin.ch).

2. Dati Raccolti

  • Dati di registrazione: nome, cognome, email, password (hash), foto profilo opzionale.
  • Profilo professionale: ragione sociale, P.IVA, settore, competenze, tariffa oraria, sito web, bio.
  • Dati dei tuoi clienti (inseriti da te): nome, email, telefono, indirizzo, P.IVA, note, documenti allegati.
  • Dati di pagamento: gestiti interamente da Stripe; non memorizziamo mai numeri di carta completi.
  • Dati di utilizzo: log d'accesso, indirizzo IP (anonimizzato per eventi non legali), user-agent, azioni svolte sulla piattaforma.
  • Contenuti generati: proposte, contratti, fatture, solleciti e altri documenti creati con il Servizio.
  • Firme elettroniche avanzate / semplici: per la firma di contratti/proposte conserviamo signature base64, timestamp server, IP completo del firmatario, user-agent, hash del documento (evidenza legale eIDAS).

3. Finalità e Base Giuridica

Ciascuna finalità è fondata su una specifica base giuridica ex art. 6 GDPR:

  • Fornitura del Servizio — art. 6(1)(b) esecuzione di contratto.
  • Generazione documenti tramite AI (Anthropic Claude) — art. 6(1)(b) esecuzione del contratto; vedi §8 per dettagli art. 22.
  • Elaborazione pagamenti via Stripe — art. 6(1)(b) + art. 6(1)(c) obblighi fiscali.
  • Email transazionali (Resend) — art. 6(1)(b).
  • Analytics anonime / migliorativi prodotto (PostHog) — art. 6(1)(a) consenso (attivo solo dietro banner cookie).
  • Adempimenti fiscali e conservazione sostitutiva — art. 6(1)(c) obbligo legale (DPR 633/72, art. 2220 c.c.).
  • Newsletter e comunicazioni promozionali — art. 6(1)(a) consenso opt-in espresso, revocabile in qualsiasi momento.
  • Antifrode e sicurezza (rate-limit, audit log) — art. 6(1)(f) legittimo interesse.

4. Destinatari e Subresponsabili

I tuoi dati sono comunicati esclusivamente ai soggetti elencati nella pagina Subresponsabili, tutti nominati Responsabili ex art. 28 GDPR con DPA sottoscritto. I principali sono: Supabase (database/auth), Stripe (pagamenti), Anthropic (AI), Resend (email), Vercel (hosting), PostHog (analytics), Rewardful (attribution).

Non vendiamo né cediamo i tuoi dati a terzi per finalità pubblicitarie.

5. Trasferimenti Extra-UE

Alcuni subresponsabili (Stripe, Anthropic, Vercel, PostHog) hanno casa madre negli Stati Uniti. I trasferimenti avvengono con una delle seguenti garanzie ex art. 46 GDPR:

  • EU-US Data Privacy Framework, ove il destinatario è certificato.
  • Clausole Contrattuali Standard (Decisione 2021/914) con valutazione d'impatto (TIA) documentata.

La documentazione TIA è disponibile su richiesta a support@prosvero.com.

6. Periodo di Conservazione

  • Dati dell'account: per tutta la durata dell'abbonamento e 30 giorni oltre la cancellazione per backup tecnico.
  • Fatture e documenti fiscali: 10 anni ex art. 2220 c.c. (obbligo legale; prevale su richieste di cancellazione ai sensi art. 17(3)(b) GDPR).
  • Log tecnici di accesso: 6 mesi.
  • Indirizzi IP completi negli audit di firma contratti/proposte: 10 anni (funzione probatoria eIDAS).
  • IP di visualizzazione (non legali): anonimizzati già al momento della raccolta (ultimo ottetto IPv4 / ultimi 80 bit IPv6 azzerati).
  • Dati analytics: anonimizzati automaticamente dopo 26 mesi.
  • Contenuti generati (proposte/contratti archiviati): eliminati con l'account salvo obbligo fiscale.

7. I Tuoi Diritti

Ai sensi degli artt. 15-22 GDPR hai diritto a:

  • Accesso (art. 15): richiedere conferma ed una copia dei tuoi dati.
  • Rettifica (art. 16): dati inesatti o incompleti direttamente dalle Impostazioni o via email.
  • Cancellazione / "oblio" (art. 17): disponibile in autonomia da Impostazioni → Privacy → Elimina account.
  • Portabilità (art. 20): esporta tutti i tuoi dati in formato JSON da /api/account/export.
  • Limitazione (art. 18) e Opposizione (art. 21): scrivici a support@prosvero.com.
  • Revoca del consenso (art. 7(3)): in qualsiasi momento, senza pregiudizio per il trattamento pregresso.
  • Reclamo al Garante (art. 77): www.garanteprivacy.it.

Risponderemo entro 30 giorni dalla ricezione della richiesta (art. 12(3) GDPR).

8. Trattamento Automatizzato e Intelligenza Artificiale (art. 13(2)(f), art. 22 GDPR)

La piattaforma utilizza modelli AI generativi (Anthropic Claude) per produrre bozze di proposte, contratti, fatture, solleciti e newsletter.

  • Logica coinvolta: i modelli ricevono parametri inseriti da te (tipo progetto, cliente, importi) e restituiscono un testo in italiano che puoi modificare.
  • Intervento umano: nessun documento viene inviato al tuo cliente finale senza tua revisione esplicita. Non ci sono decisioni giuridicamente vincolanti automatizzate ai sensi dell'art. 22(1).
  • Diritti: puoi sempre (i) ignorare il suggerimento AI, (ii) rifiutare la generazione, (iii) contattarci per ottenere intervento umano.
  • Retention presso Anthropic: ai sensi della policy standard API di Anthropic, i prompt dell'API non vengono utilizzati per addestrare i modelli. Anthropic può conservare i dati fino a 30 giorni per finalità di audit e abuse detection (politica standard API). Il trasferimento extra-UE avviene tramite Clausole Contrattuali Standard 2021/914 Modulo 2 + Anthropic DPA.
  • Allucinazioni: gli output AI possono contenere errori. L'Utente deve sempre far validare i contratti da un professionista abilitato. Prosvero non fornisce consulenza legale, fiscale o tecnica professionale.

9. Rapporto con i dati dei tuoi clienti (art. 28 GDPR)

Quando utilizzi la piattaforma per gestire dati personali dei tuoi clienti, tu sei Titolare del trattamento e Prosvero è Responsabile. I termini del Data Processing Agreement sono disponibili alla pagina /legal/dpa e si intendono accettati con la sottoscrizione dei Termini di Servizio.

10. Cookie

Utilizziamo cookie tecnici (autenticazione/sessione) che non richiedono consenso, e cookie di analytics/marketing solo previo consenso esplicito tramite banner, revocabile in qualsiasi momento. Dettagli in Cookie Policy.

11. Sicurezza

Adottiamo misure tecniche e organizzative proporzionate (art. 32 GDPR): TLS 1.2+ in transito, Row Level Security Postgres a livello database, hash delle password (bcrypt via Supabase Auth), rate limiting, verifica firma webhook (HMAC-SHA256), sanificazione input AI e output HTML (DOMPurify), CSP restrittiva, separation of duties (service_role vs anon/authenticated).

12. Violazione dei dati (Data Breach)

In caso di violazione notificabile ai sensi degli artt. 33-34 GDPR, informeremo il Garante entro 72 ore dalla conoscenza e, ove il rischio sia elevato, gli interessati senza ingiustificato ritardo.

13. Minori

Il Servizio è riservato a maggiorenni o titolari di P.IVA. Non raccogliamo consapevolmente dati di minori di 18 anni. Se veniamo a conoscenza di account intestati a minori li cancelleremo.

14. Modifiche

Ci riserviamo di modificare la presente informativa. In caso di modifiche sostanziali ti avviseremo via email almeno 30 giorni prima dell'entrata in vigore; avrai diritto di recedere senza costi se non accetti i nuovi termini.

15. Contatti

Per qualsiasi richiesta relativa alla privacy: support@prosvero.com.