← Home

Informativa Privacy

Ai sensi del Regolamento UE 2016/679 (GDPR) e del Codice della Privacy. Aggiornata: aprile 2026.

1. Titolare del trattamento

Digital Visions di Paolo Pedrazzi — Italia.
Email: privacy@codezen.ai

2. Dati trattati

  • Account: email, nome, password (hash bcrypt), avatar, ruolo
  • Sicurezza: passkey WebAuthn (chiave pubblica), TOTP secret cifrato, log di accesso
  • Operativi: progetti, task, sprint, file caricati, conversazioni AI, sandbox attive
  • Tecnici: indirizzo IP, user-agent, timestamp (per audit log e sicurezza)
  • Pagamento: gestito da Stripe — Codezen riceve solo customer ID e subscription status

3. Finalità e basi giuridiche

  • Erogazione servizio (Art. 6.1.b — esecuzione contratto)
  • Sicurezza account e antifrode (Art. 6.1.f — legittimo interesse)
  • Fatturazione e adempimenti fiscali (Art. 6.1.c — obbligo legale)
  • Comunicazioni di servizio (Art. 6.1.b)

4. Destinatari dei dati

  • Hetzner (DE) — hosting infrastruttura
  • Stripe Payments Europe (IE) — processore pagamenti
  • Anthropic / OpenAI (US/UK) — provider modelli AI (solo testo della conversazione, non email/credentials)
  • Postmark (US) — email transazionali (privacy-shield successor SCC)
  • Cloudflare (US) — DNS + CDN + WAF

I trasferimenti extra-UE avvengono in base alle Clausole Contrattuali Standard (CCS) della Commissione UE.

5. Conservazione

  • Account attivo: per tutta la durata della relazione contrattuale
  • Dopo cancellazione: 30 giorni di soft-delete recovery, poi hard-delete
  • Audit log: 12 mesi (sicurezza) o 10 anni (fatture, obbligo fiscale)
  • Backup giornalieri: 30 giorni rolling, poi sovrascritti

6. Diritti dell'interessato (Art. 15-22 GDPR)

  • Accesso ai dati
  • Rettifica
  • Cancellazione ("diritto all'oblio")
  • Portabilità (export JSON da Settings → Account)
  • Opposizione al trattamento
  • Revoca del consenso (per finalità basate su consenso)
  • Reclamo al Garante per la protezione dei dati (garanteprivacy.it)

Per esercitare i diritti: privacy@codezen.ai. Risposta entro 30 giorni.

7. Sicurezza

  • Cifratura at-rest delle credenziali sensibili (AES-256-GCM)
  • Password con bcrypt (cost 10)
  • Connessione HTTPS obbligatoria (TLS 1.2+)
  • WebAuthn / TOTP MFA disponibile per ogni account
  • Audit log di azioni critiche (login, delete, modifiche permessi)
  • Backup giornaliero criptato off-site
  • Multi-tenancy: isolamento totale a livello DB (constraint + middleware)

8. Cookie

Vedi la Cookie Policy dedicata.

9. Modifiche

Eventuali modifiche sostanziali sono comunicate via email almeno 30 giorni prima dell'entrata in vigore.

Ultima modifica: aprile 2026 · v1.0