Come trattiamo i tuoi dati — GDPR / Reg. UE 2016/679
⚠️ Bozza — testo predisposto da revisione legale specialistica, in attesa di validazione finale da parte dello Studio prima della pubblicazione definitiva.
Informativa sul trattamento dei dati personali
Ai sensi degli artt. 13-14 del Reg. UE 2016/679 (GDPR)
Il presente documento descrive come Astra Digital Marketing & AI Automations (di seguito
"Titolare") tratta i dati personali degli utenti della piattaforma Astra AI OS,
accessibile all'indirizzo os.digitalastra.it.
1. Titolare del trattamento
Mattia Calastri — Astra Digital Marketing & AI Automations
P.IVA 04832100236 · Verona (VR), Italia
E-mail: agenziacrescita@gmail.com
2. Dati trattati e finalità
Dati di account (autenticazione OAuth): nome, indirizzo e-mail e identificativo
forniti da Google o Apple al momento dell'accesso. Base giuridica: esecuzione del contratto
(art. 6 §1 lett. b GDPR). Conservazione: per la durata del rapporto contrattuale e,
successivamente, per il tempo necessario ad adempiere obblighi di legge (massimo 10 anni per
documentazione fiscale/contabile).
Dati operativi collegati dall'utente: contenuti e dati di business provenienti da
sistemi terzi integrati volontariamente dall'utente (a titolo esemplificativo: GoHighLevel,
Stripe, Gmail, Google Calendar, Fathom, WhatsApp Business, Meta Ads, Google Ads). Il Titolare
tratta questi dati in qualità di responsabile per conto dell'utente, che ne rimane titolare.
Base giuridica: esecuzione del contratto (art. 6 §1 lett. b). Conservazione: fino alla revoca
dell'integrazione o alla cessazione dell'account.
Log tecnici e dati di utilizzo: indirizzi IP, timestamp, azioni registrate per
sicurezza e audit degli automatismi. Base giuridica: legittimo interesse del Titolare alla
sicurezza del sistema (art. 6 §1 lett. f GDPR). Conservazione: massimo 12 mesi salvo obblighi
di legge o gestione di incidenti.
Dati particolari: il Titolare non raccoglie né richiede dati particolari (art. 9
GDPR). Qualora l'utente carichi autonomamente tali dati nei propri contenuti operativi, ne è
responsabile; il Titolare non effettua trattamenti specifici su tali categorie e invita a
evitarne il caricamento ove non strettamente necessario.
3. Sub-responsabili del trattamento (art. 28 GDPR)
Il Titolare si avvale dei seguenti fornitori, vincolati da accordi di responsabilità del
trattamento:
Supabase Inc. — database e storage, region UE (eu-west-2). Responsabile del
trattamento ai sensi dell'art. 28 GDPR.
Anthropic PBC — API di modelli di intelligenza artificiale (Claude). Fornitore con
sede negli USA: i dati elaborati tramite le API vengono trasferiti negli Stati Uniti. Il
trasferimento è coperto da Clausole Contrattuali Standard (SCC), art. 46 §2 lett. c GDPR,
adottate dalla Commissione europea con Decisione 2021/914/UE.
Railway (Railway Corp.) — hosting e infrastruttura applicativa.
Google LLC / Apple Inc. — esclusivamente per l'autenticazione OAuth (verifica
identità). Non ricevono dati operativi della piattaforma.
4. Trasferimenti extra-UE
I dati elaborati tramite le API di Anthropic sono trasferiti negli Stati Uniti d'America. La
garanzia del trasferimento è costituita dalle Clausole Contrattuali Standard adottate dalla
Commissione europea (art. 46 §2 lett. c GDPR). L'utente può richiedere copia delle garanzie
applicabili scrivendo all'indirizzo del Titolare.
5. Profilazione e decisioni automatizzate — Ruolo dell'AI
La piattaforma utilizza modelli di AI di terze parti (Anthropic) per elaborare i contenuti e
le istruzioni dell'utente e per eseguire automazioni. Gli agenti AI agiscono sempre su
istruzione esplicita dell'utente; le azioni su sistemi collegati che producono effetti
rilevanti richiedono per impostazione predefinita la conferma dell'utente. Il Titolare non
adotta decisioni che producono effetti giuridici significativi basate esclusivamente su
trattamento automatizzato ai sensi dell'art. 22 GDPR, né effettua profilazione a fini
pubblicitari. L'output dei modelli può contenere imprecisioni: l'utente rimane l'unico
responsabile delle decisioni adottate sulla base di tali output.
6. Diritti dell'interessato (artt. 15-22 GDPR)
L'utente ha diritto di:
Accesso (art. 15): ottenere conferma del trattamento e copia dei dati.
Rettifica (art. 16): correggere dati inesatti o incompleti.
Cancellazione (art. 17): richiedere la cancellazione ("diritto all'oblio").
Limitazione (art. 18): limitare il trattamento in determinati casi.
Portabilità (art. 20): ricevere i dati in formato strutturato, ove applicabile.
Opposizione (art. 21): opporsi ai trattamenti fondati su legittimo interesse.
Non essere sottoposto a decisioni automatizzate (art. 22): come descritto al punto 5.
Le richieste vanno inviate a agenziacrescita@gmail.com.
Il Titolare risponde entro 30 giorni (prorogabili di ulteriori 60 in caso di complessità, con
comunicazione motivata). L'utente ha altresì diritto di proporre reclamo al Garante per la
protezione dei dati personali (www.garanteprivacy.it).
7. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate al rischio, descritte nella
sezione Sicurezza della piattaforma, tra cui: sessioni cifrate, gestione
dei segreti tramite variabili d'ambiente, audit delle azioni degli agenti, autenticazione per
l'esecuzione di comandi verso sistemi collegati e controlli di integrità sugli automatismi.
8. Modifiche alla presente informativa
Il Titolare si riserva di aggiornare la presente informativa per recepire modifiche normative
o tecnico-organizzative. Le modifiche sostanziali sono comunicate all'utente tramite notifica
in-app o e-mail. La versione vigente è sempre disponibile nella piattaforma con data di
aggiornamento.