Torna alla home

Privacy Policy

Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR).

Premessa

La presente informativa descrive le modalità di trattamento dei dati personali degli Utenti che accedono e utilizzano la piattaforma Mastro, accessibile via web. È resa nel rispetto del Regolamento (UE) 2016/679 (GDPR), del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (Codice Privacy) e dei provvedimenti del Garante per la protezione dei dati personali.

  1. Titolare del trattamento
  2. Responsabile della protezione dei dati (DPO)
  3. Categorie di dati personali trattati
  4. Finalità e basi giuridiche del trattamento
  5. Modalità del trattamento e misure di sicurezza
  6. Destinatari e responsabili del trattamento
  7. Trasferimenti di dati extra-SEE
  8. Periodi di conservazione
  9. Diritti dell'interessato e modalità di esercizio
  10. Trattamento dei dati di Clienti Finali del professionista
  11. Trattamenti correlati all'intelligenza artificiale
  12. Cookie e tecnologie di tracciamento
  13. Modifiche alla presente informativa
  14. Reclami all'Autorità di controllo

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali raccolti e trattati mediante il Servizio è:

  • Denominazione: MASUT MARCO, Impresa Individuale
  • Sede legale: Largo di Porta Cadore 5, 31029 Vittorio Veneto (TV)
  • Partita IVA: 05486240269
  • Email di contatto: [email protected]

2. Responsabile della protezione dei dati (DPO)

Il Titolare non è tenuto alla nomina di un Responsabile della protezione dei dati ai sensi dell'art. 37 GDPR, non rientrando nelle ipotesi di obbligatorietà ivi previste. Per ogni questione relativa al trattamento è possibile contattare direttamente il Titolare all'indirizzo [email protected].

3. Categorie di dati personali trattati

3.1 Dati di registrazione e profilo

Indirizzo e-mail, nome, cognome, immagine del profilo, denominazione dello studio, partita IVA dello studio, ruolo all'interno dello studio, preferenze di lingua e tier sottoscritto.

3.2 Dati di autenticazione

Identificativi OAuth Google e Microsoft (identificativo utente sul provider, token di accesso e token di refresh cifrati con algoritmo Fernet prima di essere conservati); token di sessione JWT del Servizio.

3.3 Dati di pagamento

I dati relativi allo strumento di pagamento sono raccolti e trattati direttamente da Stripe Payments Europe, Limited in qualità di autonomo titolare del trattamento. Mastro riceve esclusivamente l'identificativo del pagamento, l'esito e i dati di fatturazione (ragione sociale, partita IVA, indirizzo, codice SDI o PEC del destinatario).

3.4 Contenuti immessi dall'Utente

Testi, prompt, domande inviate alla chat Cowork; file caricati (PDF, DOCX, XLSX, immagini di documenti fiscali, bilanci, contratti, fatture, estratti conto, verbali); annotazioni e classificazioni applicate dall'Utente ai propri contenuti. Questi contenuti possono includere dati personali di terzi, segnatamente dei Clienti Finali del professionista (cfr. sezione 10).

3.5 Output generati dall'AI

Testi, prospetti, calcoli, bozze di documenti generati dal Servizio in risposta agli input dell'Utente, con relative citazioni di fonte.

3.6 Dati di utilizzo, log e telemetria

Indirizzo IP, identificativo del dispositivo, tipo e versione del browser, sistema operativo, lingua, fuso orario, data e ora di accesso, pagine visualizzate, azioni compiute, eventuali messaggi di errore, durata della sessione. Log applicativi del backend per finalità di debug, sicurezza e prevenzione frodi.

3.7 Dati di interazione con l'AI

Log delle chiamate ai modelli AI di terze parti contenenti identificativo dello studio, identificativo del documento, tipo di operazione, modello utilizzato (es. Claude Sonnet 4.6, Claude Haiku 4.5, text-embedding-3-large), numero di token in input/output, costo stimato, esito.

3.8 Dati di e-mail integrate (Tier che lo prevedano)

Per le funzionalità di integrazione e-mail il Servizio accede alle caselle di posta dell'Utente con i token OAuth conferiti, limitatamente agli scope autorizzati dall'Utente.

3.9 Dati di comunicazione con Mastro

Contenuto di e-mail, ticket di assistenza, richieste di esercizio dei diritti privacy.

Categorie particolari di dati. Il Servizio non richiede e non sollecita il caricamento di dati di cui all'art. 9 GDPR (salute, orientamento sessuale, origine razziale o etnica, opinioni politiche, religiose, sindacali) né di dati relativi a condanne penali e reati ex art. 10 GDPR. L'Utente è invitato a non caricare tali categorie di dati salvo che ciò sia strettamente necessario all'esecuzione del mandato professionale e in presenza di idonea base giuridica di sua titolarità.

4. Finalità e basi giuridiche del trattamento

FinalitàBase giuridica (art. 6 GDPR)Conferimento
Registrazione, autenticazione e gestione dell'AccountEsecuzione contratto (art. 6.1.b)Necessario
Erogazione del Servizio (Cowork, RAG, analisi, drafting, workspace)Esecuzione contratto (art. 6.1.b)Necessario
Gestione amministrativo-contabile e fatturazioneEsecuzione contratto e obbligo legale (D.P.R. 633/72, 600/73, art. 2220 c.c.)Necessario
Adempimento di obblighi di legge e richieste dell'autoritàObbligo legale (art. 6.1.c)Necessario
Sicurezza, prevenzione frodi, log applicativi, incident responseLegittimo interesse (art. 6.1.f)Opponibile
Miglioramento del Servizio mediante analisi aggregata e statisticaLegittimo interesse (art. 6.1.f)Opponibile
Comunicazioni di servizio (avvisi tecnici, modifiche)Esecuzione contrattoNecessario
Marketing diretto via e-mail su prodotti analoghi a quelli sottoscrittiLegittimo interesse soft-spam (art. 130, c. 4 D.Lgs. 196/2003)Opponibile in ogni momento
Marketing su prodotti non analoghi e profilazione marketingConsenso (art. 6.1.a)Facoltativo, revocabile
Difesa in giudizioLegittimo interesse (art. 6.1.f)Non opponibile
Nessun trattamento per finalità di addestramento AI. I dati personali e i Contenuti dell'Utente non sono utilizzati, in alcuna forma e per nessuna finalità, per addestrare, riaddestrare o effettuare fine-tuning di modelli di intelligenza artificiale, propri o di terzi. Cfr. sezione 11.

5. Modalità del trattamento e misure di sicurezza

Il trattamento avviene con strumenti prevalentemente automatizzati, secondo logiche strettamente correlate alle finalità indicate e in modo da garantire la sicurezza e la riservatezza dei dati ai sensi degli artt. 5 e 32 GDPR.

Il Titolare adotta misure tecniche e organizzative adeguate, tra cui:

  • trasmissione cifrata in transito con protocollo TLS 1.2+;
  • cifratura at-rest del database e dell'object storage; cifratura dedicata con algoritmo Fernet per i token OAuth conservati;
  • autenticazione esclusivamente OAuth tramite provider Google e Microsoft (nessuna password proprietaria da custodire);
  • scadenza dei token di sessione (JWT con TTL 24 ore);
  • separazione logica multi-tenant: ogni Workspace ha un identificativo univoco e le query al database sono filtrate per studio;
  • pipeline di pre-anonimizzazione PII basata su Microsoft Presidio integrata con regole specifiche per il contesto italiano (codice fiscale, partita IVA, IBAN, nomi propri, indirizzi): i dati identificativi sono sostituiti con placeholder prima dell'invio ai provider AI di terze parti;
  • principio del minimo privilegio nell'accesso amministrativo;
  • log di accesso e di sicurezza per audit e indagini su incidenti;
  • audit log a livello Workspace (Tier 2 e 3);
  • backup periodici del database;
  • policy di gestione degli incidenti con notifica all'autorità di controllo entro 72 ore dalla conoscenza (art. 33 GDPR).

Nessuna misura di sicurezza è in grado di garantire una protezione assoluta. Il Titolare implementa lo stato dell'arte ragionevolmente proporzionato ai rischi del trattamento.

6. Destinatari e responsabili del trattamento

I dati personali possono essere comunicati ai seguenti destinatari, ciascuno nei limiti delle finalità sopra indicate. I sub-responsabili sono nominati formalmente ai sensi dell'art. 28 GDPR mediante Data Processing Agreement (DPA).

6.1 Infrastruttura cloud (hosting e storage)

FornitoreServizioSede del trattamento
Neon Inc.Database relazionale e vettoriale (pgvector)UE — AWS Francoforte (eu-central-1)
Railway Corp.Hosting backend (FastAPI) e frontend (Next.js)UE — Paesi Bassi
Cloudflare, Inc. (R2 Object Storage)Archiviazione file documentali caricati dagli UtentiUE — Ungheria

6.2 Modelli di intelligenza artificiale

FornitoreServizioSedeGaranzie
Anthropic, PBCLLM Claude Sonnet 4.6 e Haiku 4.5 per chat Cowork, analisi e draftingStati UnitiDPA con SCC; impegno contrattuale a non utilizzare i dati per addestramento
OpenAI, L.L.C.Modello di embedding text-embedding-3-large per il sistema RAGStati UnitiDPA con SCC; impegno contrattuale a non utilizzare i dati per addestramento
Cohere Inc. (opzionale, disabilitato di default)Reranking dei risultati di ricercaStati UnitiDPA con SCC; impegno a non trattenere i dati

6.3 Servizi di autenticazione

FornitoreServizioSede
Google LLC / Google Ireland LimitedOAuth 2.0 / OpenID Connect; scope Gmail Send su autorizzazioneUSA (parent); UE (entità europea)
Microsoft Corporation / Microsoft Ireland Operations LimitedOAuth 2.0; scope Mail.Send / User.Read su autorizzazioneUSA (parent); UE (entità europea)

6.4 Pagamenti

Stripe Payments Europe, Limited (Irlanda — UE) in qualità di processore di pagamento e autonomo titolare del trattamento, con possibili sotto-trasferimenti a Stripe USA coperti da SCC.

6.5 Comunicazioni transazionali

Resend, Inc. (Stati Uniti, DPA con SCC) per l'invio di e-mail transazionali (inviti, notifiche di servizio, link a moduli pubblici).

6.6 Servizi di monitoraggio (eventuale futura attivazione)

Il Titolare si riserva di attivare in futuro un servizio di monitoraggio errori e performance applicativa (es. Sentry) con sede negli Stati Uniti: in tal caso l'attivazione avverrà previa stipula di DPA con SCC e aggiornamento della presente informativa con preavviso di 30 giorni.

6.7 Consulenti del Titolare e autorità pubbliche

Commercialista, consulente del lavoro, consulente privacy, consulente legale del Titolare per le rispettive funzioni. In adempimento a obblighi di legge, su richiesta o ordine: autorità giudiziaria, forze dell'ordine, Garante per la protezione dei dati personali, Agenzia delle Entrate, Guardia di Finanza.

L'elenco aggiornato dei sub-responsabili è disponibile a richiesta scrivendo a [email protected]. Eventuali variazioni saranno comunicate agli Utenti con preavviso di almeno 30 giorni.

7. Trasferimenti di dati extra-SEE

Alcuni dei sub-responsabili sopra indicati hanno sede o effettuano il trattamento in Paesi al di fuori dello Spazio Economico Europeo, segnatamente negli Stati Uniti d'America (Anthropic, OpenAI, Cohere, Resend, casa madre di Google, Microsoft, Cloudflare, Stripe).

Per tali trasferimenti il Titolare garantisce un livello adeguato di protezione mediante Clausole Contrattuali Standard approvate dalla Commissione europea (decisione (UE) 2021/914), EU-US Data Privacy Framework ove il sub-responsabile risulti certificato (decisione (UE) 2023/1795), e misure supplementari tecniche e organizzative, in particolare la pipeline di pre-anonimizzazione PII descritta alla sezione 5. Copia delle SCC e dei DPA può essere richiesta scrivendo a [email protected].

8. Periodi di conservazione

Categoria di datiPeriodo di conservazione
Dati di registrazione e profiloDurata del rapporto e fino a 5 anni dalla cessazione
Dati di pagamento e fatturazione10 anni (art. 2220 c.c., D.P.R. 633/72, D.P.R. 600/73)
Contenuti caricati e Output AIDurata del rapporto; 30 giorni post-cessazione per l'esportazione, poi cancellazione (retention configurabile, default 90 giorni per documenti operativi)
Token OAuth cifratiFino alla revoca da parte dell'Utente
Token di sessione JWT24 ore dall'emissione
Log applicativi e di sicurezzaMassimo 12 mesi, salvo indagini su incidenti o difesa in giudizio
Log delle interazioni AI24 mesi
Audit log Workspace (Tier 2 e 3)24 mesi
Dati per marketing direttoFino a opposizione
Dati con consenso marketingFino a revoca del consenso
Dati per difesa in giudizioTermine prescrizionale dell'azione (di norma 10 anni)

9. Diritti dell'interessato e modalità di esercizio

L'Utente, in qualità di interessato, ha diritto di:

  • accesso ai propri dati personali (art. 15 GDPR);
  • rettifica dei dati inesatti o integrazione di quelli incompleti (art. 16);
  • cancellazione (diritto all'oblio) nei casi previsti dall'art. 17;
  • limitazione del trattamento nei casi previsti dall'art. 18;
  • portabilità dei dati forniti (art. 20);
  • opposizione al trattamento fondato sul legittimo interesse, incluso il marketing diretto (art. 21);
  • revoca del consenso in ogni momento, senza pregiudizio della liceità del trattamento precedente (art. 7.3);
  • opposizione a decisioni automatizzate che producano effetti giuridici o incidano in modo significativo (art. 22). Si precisa che il Servizio non assume decisioni automatizzate in tal senso.

Per esercitare i diritti è sufficiente scrivere a [email protected] con oggetto «Esercizio diritti GDPR», allegando copia di un documento di identità. Il Titolare risponde entro 30 giorni dalla richiesta, prorogabili di ulteriori 60 giorni in caso di richieste particolarmente complesse, con comunicazione motivata. L'esercizio dei diritti è gratuito, salvi i casi di richiesta manifestamente infondata o eccessiva (art. 12.5 GDPR).

10. Trattamento dei dati di Clienti Finali del professionista

Quando l'Utente, nella propria qualità di professionista, carica nel Servizio dati personali relativi ai propri Clienti Finali (anagrafiche, documenti fiscali, bilanci, contratti, fatture, estratti conto, verbali assembleari):

  • il Cliente Finale è l'interessato;
  • l'Utente professionista (lo studio) è il Titolare del trattamento di tali dati;
  • Mastro agisce in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR per conto dell'Utente;
  • i fornitori indicati alla sezione 6 (in particolare Anthropic, OpenAI, Cohere) agiscono quali sub-responsabili.

L'accettazione dei Termini comporta la sottoscrizione del Data Processing Agreement tra l'Utente (titolare) e Mastro (responsabile), che disciplina oggetto, durata, natura e finalità del trattamento; tipologia di dati e categorie di interessati; obblighi del responsabile (riservatezza, sicurezza, supporto al titolare, breach notification); autorizzazione all'uso dei sub-responsabili con diritto di opposizione a nuovi sub-responsabili comunicati con preavviso di 30 giorni; restituzione o cancellazione dei dati alla cessazione del rapporto; diritto di audit del titolare.

L'Utente è tenuto a fornire ai propri Clienti Finali una propria informativa privacy ex artt. 13-14 GDPR completa e aggiornata, che dia conto della comunicazione dei loro dati a Mastro in qualità di responsabile e ai sub-responsabili indicati alla sezione 6.

11. Trattamenti correlati all'intelligenza artificiale

11.1 No training su dati dell'Utente

Il Titolare non utilizza i dati personali dell'Utente, i Contenuti caricati, le conversazioni Cowork, gli Output generati, per addestrare, riaddestrare o effettuare fine-tuning di modelli di intelligenza artificiale, propri o di terzi. Anthropic, OpenAI e Cohere dichiarano contrattualmente di non utilizzare i dati ricevuti via API per l'addestramento dei modelli.

11.2 Assenza di decisioni automatizzate vincolanti

Il Servizio non assume decisioni che producano effetti giuridici o incidano in modo significativo sull'Utente o sui Clienti Finali ai sensi dell'art. 22 GDPR. Ogni Output dell'AI è di natura informativa e deve essere validato dal professionista, che resta unico ed esclusivo responsabile delle decisioni adottate. Per maggiori dettagli, consulta l'Informativa AI dedicata.

11.3 Misura di sicurezza dedicata: pre-anonimizzazione PII

Prima dell'invio ai provider AI di terze parti, i contenuti testuali sono sottoposti a una pipeline di pre-anonimizzazione PII basata sulla libreria open source Microsoft Presidio, integrata da regole di riconoscimento specifiche per il contesto italiano (codice fiscale, partita IVA, IBAN, nomi propri, indirizzi). Si tratta di una misura supplementare di mitigazione del trasferimento extra-SEE, che non garantisce l'azzeramento del rischio di identificabilità.

11.4 Conformità all'AI Act

Il Servizio è qualificato dal Titolare come sistema AI a rischio limitato ai sensi del Regolamento (UE) 2024/1689. L'Utente è informato in modo chiaro che sta interagendo con un sistema di intelligenza artificiale (obbligo di trasparenza ex art. 50 AI Act). Maggiori dettagli nell'Informativa AI dedicata.

12. Cookie e tecnologie di tracciamento

Il Servizio utilizza:

  • cookie tecnici di sessione e di autenticazione, strettamente necessari al funzionamento del Servizio: non richiedono il consenso ai sensi del Provvedimento Garante del 10 giugno 2021 (n. 231);
  • localStorage del browser per memorizzare il token di sessione JWT e le preferenze dell'Utente (lingua, tema): si tratta di tecnologie strumentali al funzionamento del Servizio.

Il Servizio non utilizza, alla data di pubblicazione, cookie di profilazione, cookie di terze parti per finalità di marketing, pixel di tracciamento (Meta Pixel, LinkedIn Insight, Google Ads) né strumenti di analytics di terze parti. L'eventuale futura attivazione di tali strumenti sarà preceduta dall'aggiornamento della presente informativa, dalla pubblicazione di una Cookie Policy dedicata e dall'attivazione di un cookie banner conforme.

13. Modifiche alla presente informativa

Il Titolare si riserva di modificare la presente informativa per adeguarla a evoluzioni normative, prassi del Garante, modifiche del Servizio o introduzione di nuovi sub-responsabili. Le modifiche sostanziali saranno comunicate con preavviso di almeno 30 giorni mediante avviso nel Servizio e/o e-mail.

14. Reclami all'Autorità di controllo

Fermo restando il diritto di adire l'autorità giudiziaria, l'Utente che ritenga che il trattamento dei propri dati personali violi il GDPR ha diritto di proporre reclamo al Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma — PEC [email protected] — e-mail [email protected] — tel. +39 06 696771 — sito www.gpdp.it.