Informativa Privacy

Ultimo aggiornamento: 29 maggio 2026 · Versione 1.1

Novità v1.1: aggiunta sezione 8 dedicata all'uso di tecniche di machine learning interne per il rilevamento delle minacce di sicurezza. Nessun cambiamento sui dati raccolti, solo trasparenza sull'analisi automatica già in essere come misura di sicurezza (art. 32 GDPR).

1. Titolare del trattamento

Zeli SRL · Via Pancaldi 59, 41122 Modena (MO), Italia · P.IVA / C.F. 01331980365. Contatto privacy: [email protected].

2. Dati che trattiamo

• Dati di registrazione: email, nome, password (argon2id hash, mai plaintext).
• Dati di autenticazione: 2FA secret cifrato AES-256-GCM, recovery codes argon2-hashed.
• Audit log: IP (hash SHA-256), user-agent, country code, timestamp per ogni azione sensibile.
• Workflow + dati utente: salvati nel container Docker isolato per workspace sul nostro server in Germania.
• Cookie: vedi Cookie policy.

3. Finalità e base giuridica

• Erogazione del servizio (art. 6 §1.b — contratto): autenticazione, esecuzione workflow, fatturazione.
• Sicurezza (art. 6 §1.f — legittimo interesse): audit log, rate-limit, anti-abuse, fraud prevention.
• Comunicazioni transazionali (art. 6 §1.b): conferma email, fatture, alert sicurezza.
• Analytics + marketing (art. 6 §1.a — consenso): solo con opt-in esplicito dal cookie banner.

4. Hosting + sub-processors

Tutti hanno DPA firmato + sono EU-based o GDPR-compliant.

• Hetzner Online GmbH (DE) — server fisico (Falkenstein) + storage.
• Cloudflare, Inc. (US/EU) — CDN + WAF. SCC + DPA. Dati in transit cifrati.
• Backblaze, Inc. (US/EU region) — backup cifrati AES-256-GCM. SCC + DPA.
• Aruba PEC SpA (IT) — invio email transazionali.
• PayPal (Europe) (LU) — gateway pagamenti.

5. Periodo di conservazione

• Account attivo: per tutta la durata del rapporto.
• Audit log security: 1 anno raw + 7 anni anonimizzato (legal hold).
• Backup container: 90 giorni dopo cancellazione account.
• Cookie consents: 5 anni (EDPB raccomandazione).
• Fatture: 10 anni (Codice Civile art. 2220).

6. I tuoi diritti

Puoi esercitare in qualsiasi momento:

• Accesso (art. 15) — vedi /account/profile.
• Rettifica (art. 16) — modifica nome/email/password da account.
• Cancellazione / oblio (art. 17) — pulsante "Elimina account" in profilo. Cancellazione effettiva dopo 7 giorni di grazia.
• Limitazione del trattamento (art. 18) — sospendi container senza cancellare.
• Portabilità dei dati (art. 20) — export ZIP completo da profilo.
• Opposizione (art. 21) — disattiva analytics/marketing da cookie banner.
• Reclamo al Garante — garanteprivacy.it.

7. Sicurezza

• 2FA obbligatorio per ogni account (TOTP RFC 6238 — Google Authenticator compatibile).
• Password: argon2id 64MiB / 3 iter / 4 parallelism (OWASP 2025).
• TLS 1.2/1.3 obbligatorio. HSTS preload. Cert Cloudflare Origin wildcard.
• Container Docker isolato per workspace (network bridge, no inter-container traffic per default).
• WAF Sentinel proprietario (Rust) in production con analisi comportamentale + machine learning on-prem. Dettagli: /sicurezza.

8. Machine learning interno per sicurezza

Per migliorare la capacità di Sentinel WAF di rilevare nuove classi di attacchi senza ricorrere a servizi terzi, i pattern tecnici delle richieste classificate come potenziali minacce possono essere usati per addestrare modelli di classificazione interni. Base giuridica: art. 6 §1.f GDPR (legittimo interesse alla sicurezza) + art. 32 GDPR (misure tecniche adeguate). Nessun consenso è richiesto perchè la finalità è identica al logging di sicurezza già in essere (principio di limitazione della finalità, art. 5 §1.b).

8.1 Cosa entra nel dataset

• Solo richieste rilevate come minaccia dal WAF (regex match, scoring anomalo, honeypot hit). Le richieste benigne aggregate sono usate solo come campione bilanciato statistico, pseudonimizzate.
• Tecnici: payload HTTP, header, path, metodo, user-agent.
• Pseudonimizzati prima dello storage: indirizzo email → <EMAIL>, IP → hash SHA-256, JWT/API keys → <TOKEN>, carte di credito → <CC>, codici fiscali → <TAX_ID>.
• Tracciati con versione di policy: ogni record registra contro quale versione della presente informativa è stato raccolto, per permettere il filtraggio retroattivo in caso di aggiornamento normativo.

8.2 Cosa NON entra nel dataset

• Workflow content, output di esecuzione, dati operativi del workspace.
• Credenziali integrazioni (rimangono cifrate at-rest, mai estratte).
• Conversazioni con Liara AI (separate, cifrate, mai usate per training di sicurezza).
• Dati di fatturazione, identità, contatti.

8.3 Dove gira il training

Esclusivamente on-premise EU (Hetzner Falkenstein DE) su GPU dedicate. Nessun invio a OpenAI, Anthropic, Google, Meta o qualsiasi servizio cloud terzo. Nessun trasferimento extra-UE. Il modello addestrato (LoRA) resta nostro patrimonio aziendale e gira nello stesso datacenter delle vostre richieste.

8.4 Diritto di opposizione (art. 21)

Puoi opporti in qualsiasi momento all'uso dei tuoi dati per il training scrivendo a [email protected] con oggetto "Opposizione ML training art. 21". I tuoi sample esistenti saranno marcati come esclusi (soft-delete, NON cancellati dai forensic security log) e non verranno usati per nessun training futuro. Nota: l'opposizione al training non disattiva il rilevamento WAF in tempo reale (sicurezza necessaria al servizio, coperta da art. 6 §1.b contratto).

8.5 Retention training data

Dataset di training: max 24 mesi dalla raccolta. Dopo questo periodo i sample sono distillati in aggregate statistici e i record originali purgati (data minimization, art. 5 §1.c).

9. Modifiche

Quando aggiorniamo questa informativa, bumpiamo la policy_version e chiediamo nuovo consenso cookie. Modifiche sostanziali: notifica via email 30 giorni prima.

10. Contatti

Domande, esercizio diritti, segnalazioni: [email protected]. DPO interno: Nicola Cucurachi ([email protected]). Risposta entro 30 giorni (art. 12 §3).