Privacy Policy

Ultimo aggiornamento: 30 aprile 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è:

  • COLOMBO ALESSANDRO (impresa individuale)
  • P.IVA: IT04258850363
  • Numero REA: MO-455890
  • Sede legale: Via Giosuè Carducci 27, 41042 Fiorano Modenese (MO)
  • PEC: alessandrocolombo2002@pec.it

Per qualsiasi richiesta relativa alla privacy o per esercitare i diritti di cui agli articoli 15-22 del GDPR, puoi contattarci all'indirizzo email: privacy@bustaia.it. Risponderemo entro 30 giorni dalla ricezione della richiesta.

Non è stato nominato un Responsabile della Protezione dei Dati (DPO) in quanto non ricorrono le condizioni di obbligatorietà previste dall'art. 37 del GDPR.

2. Dati raccolti

Raccogliamo i seguenti dati:

  • Dati di registrazione: email, nome (se fornito tramite Google OAuth)
  • Documenti caricati: buste paga in formato PDF o immagine, elaborati esclusivamente per fornire il servizio di analisi
  • Dati di pagamento: gestiti interamente da Stripe Inc. Non memorizziamo numeri di carta di credito o dati bancari sui nostri server
  • Conversazioni chat:domande e risposte inviate tramite la funzione “Chiedi all'esperto”, conservate per permetterti di consultare lo storico
  • Feedback:valutazioni e commenti volontari sull'esperienza d'uso
  • Richieste di assistenza: argomento e messaggio inviati tramite il modulo di contatto
  • Dati di utilizzo: log tecnici anonimi per il funzionamento del servizio
  • Dati analitici:dati di navigazione anonimi tramite Google Analytics, raccolti solo previo consenso dell'utente (vedi Cookie Policy)

3. Finalità e base giuridica del trattamento

  • Erogazione del servizio (art. 6.1.b GDPR — esecuzione contratto): analisi delle buste paga, autenticazione, gestione account e pagamenti
  • Analisi statistica (art. 6.1.a GDPR — consenso): misurazione dell'utilizzo del sito tramite Google Analytics, attivata solo dopo il consenso esplicito dell'utente
  • Obblighi legali (art. 6.1.c GDPR): conservazione dei dati di fatturazione come previsto dalla normativa fiscale
  • Dati di categoria particolare (art. 9.2.a GDPR — consenso esplicito): le buste paga possono contenere dati relativi all'appartenenza sindacale (trattenute sindacali) e allo stato di salute (periodi di malattia, maternità, infortunio). Il trattamento di tali dati avviene esclusivamente previo consenso esplicito dell'utente, raccolto prima del caricamento del documento

4. Trattamento automatizzato e intelligenza artificiale

BustaIA utilizza l'intelligenza artificiale (modello Claude di Anthropic) per analizzare in modo automatizzato il contenuto delle buste paga caricate e per rispondere a domande generali di diritto del lavoro tramite la funzione “Chiedi all'esperto”. L'analisi e le risposte sono di natura esclusivamente informativa e non costituiscono consulenza legale professionale. Non producono effetti giuridici né incidono in modo significativo sulla persona dell'utente.

L'utente ha sempre il diritto di non basarsi esclusivamente sull'analisi automatizzata e di rivolgersi a un professionista abilitato per una valutazione approfondita.

5. Conservazione dei dati

  • Documenti caricati (buste paga):elaborati in memoria e mai salvati su disco. I file originali non vengono conservati al termine dell'elaborazione
  • Risultati delle analisi:i risultati testuali dell'analisi sono conservati fino alla cancellazione dell'account
  • Conversazioni chat:conservate fino alla cancellazione da parte dell'utente o alla cancellazione dell'account
  • Dati dell'account:conservati fino alla cancellazione dell'account da parte dell'utente
  • Dati di fatturazione: conservati per 10 anni come previsto dalla normativa fiscale italiana

6. Condivisione dei dati e fornitori terzi

Non vendiamo né condividiamo i tuoi dati personali con terze parti per scopi di marketing. Se hai acconsentito alle comunicazioni email, potresti ricevere aggiornamenti periodici su novità del servizio, CCNL e normative fiscali. Puoi revocare il consenso in qualsiasi momento dalla pagina Profilo o tramite il link di cancellazione presente in ogni email (art. 7, par. 3 GDPR). I dati vengono condivisi esclusivamente con i seguenti fornitori, necessari per l'erogazione del servizio:

  • Anthropic (Claude API)— analisi AI dei documenti. I dati inviati tramite API non vengono conservati da Anthropic oltre il tempo necessario all'elaborazione. Sede: USA.
  • Supabase Inc.— autenticazione, database e hosting dei dati. Sede società: USA. I dati del database risiedono esclusivamente nell'Unione Europea (AWS Francoforte, eu-central-1), senza trasferimento extra-UE dei contenuti.
  • Vercel Inc.— hosting del frontend e distribuzione contenuti. Sede: USA.
  • Stripe Inc.— elaborazione dei pagamenti. Stripe agisce come titolare autonomo per i dati di pagamento. Sede: USA.
  • Google LLC (Google Analytics)— analisi statistica del traffico, attivata solo previo consenso. Sede: USA.
  • Resend Inc.— invio di email transazionali (conferme, notifiche di servizio). Sede: USA.
  • Beehiiv Inc.— gestione della newsletter di BustaIA e invio di comunicazioni marketing, attivata solo previo consenso esplicito dell'utente. Puoi disiscriverti in qualsiasi momento dal link presente in ogni email. Sede: USA.
  • Render Inc.— hosting del backend e elaborazione dati. I dati vengono elaborati in memoria e non vengono salvati su disco. Sede: Stati Uniti. EU-US Data Privacy Framework.
  • Vercel Analytics— analisi anonime delle visite al sito (page views, referrer, dispositivo). Nessun cookie utilizzato. Dati aggregati, non riconducibili all'utente. Attivo solo previo consenso cookie.

7. Trasferimento dati extra-UE

Alcuni dei fornitori sopra indicati hanno sede negli Stati Uniti. I trasferimenti di dati verso gli USA avvengono sulla base del EU-US Data Privacy Framework (decisione di adeguatezza della Commissione Europea del 10 luglio 2023) o, ove applicabile, sulla base di Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.

8. Diritti dell'utente

Ai sensi degli articoli 15-22 del GDPR (Regolamento UE 2016/679), hai i seguenti diritti:

  • Accesso (art. 15): ottenere conferma e copia dei tuoi dati personali
  • Rettifica (art. 16): correggere dati inesatti o incompleti
  • Cancellazione(art. 17): richiedere la cancellazione dei tuoi dati (“diritto all'oblio”)
  • Limitazione (art. 18): limitare il trattamento in determinate circostanze
  • Portabilità (art. 20): ricevere i tuoi dati in formato strutturato e leggibile
  • Opposizione (art. 21): opporti al trattamento dei tuoi dati

Per esercitare i tuoi diritti, contattaci a privacy@bustaia.it. Risponderemo entro 30 giorni dalla ricezione della richiesta.

Hai inoltre il diritto di proporre reclamo all'autorità di controllo italiana (Garante per la protezione dei dati personali — www.garanteprivacy.it).

9. Sicurezza e protezione dei dati sensibili

Le buste paga contengono dati particolarmente sensibili (retribuzione, contributi, eventuali trattenute sindacali o periodi di malattia). Per questo adottiamo misure di sicurezza rigorose a ogni livello del trattamento:

A) Protezione nella nostra infrastruttura

  • Crittografia in transito: tutte le comunicazioni avvengono tramite HTTPS/TLS. I dati non viaggiano mai in chiaro.
  • Nessuno storage permanente dei documenti: i file caricati vengono elaborati in memoria e mai salvati su disco. Solo il testo dell'analisi viene conservato nel database.
  • Autenticazione sicura: gestita tramite Supabase Auth con JWT, senza memorizzazione di password in chiaro.
  • Consenso esplicito obbligatorio:il trattamento AI viene avviato solo dopo il consenso esplicito dell'utente, verificato sia lato client che lato server (art. 9, par. 2, lett. a GDPR).
  • Validazione dei file:ogni upload viene verificato sia per tipo MIME che per contenuto effettivo (magic bytes) per prevenire l'invio di file malevoli.

B) Protezione presso Anthropic (analisi AI)

  • Nessun uso per addestramento: i dati inviati tramite API non vengono utilizzati da Anthropic per addestrare o migliorare i propri modelli.
  • Retention limitata:i dati delle richieste API vengono conservati da Anthropic per un massimo di 7 giorni per finalità di sicurezza e abuso, poi eliminati automaticamente.
  • Crittografia at-rest: i dati temporaneamente conservati sono protetti con crittografia AES-256.
  • Certificazioni:Anthropic è certificata SOC 2 Type II e ISO 27001:2022. Documentazione disponibile su trust.anthropic.com

C) Protezione dei pagamenti (Stripe)

  • PCI DSS Level 1:Stripe è certificata al massimo livello di sicurezza per i pagamenti. I dati della carta di credito non transitano mai sui nostri server.

D) Protezione del database (Supabase)

  • Crittografia at-rest e in-transit: i dati nel database sono crittografati sia in transito che a riposo.
  • Row Level Security (RLS):ogni utente può accedere esclusivamente ai propri dati. Le policy di sicurezza sono applicate a livello di database.
  • Hosting EU: i dati sono ospitati su AWS eu-central-1 (Francoforte).

10. Modifiche alla privacy policy

Ci riserviamo il diritto di aggiornare questa privacy policy. Le modifiche saranno pubblicate su questa pagina con la data di aggiornamento. Ti consigliamo di consultare periodicamente questa pagina.