Informativa sulla Privacy

1. Titolare del trattamento

Il titolare del trattamento dei dati personali ai sensi dell'art. 4 n. 7 GDPR è:

AlpFlow di Manuel Santa
Dorf 2
39040 Aldein / Aldino
Italy
P.IVA: [TODO: P.IVA — wird nach Anmeldung bei Agenzia delle Entrate ergänzt. AlpFlow ist bis dahin nicht produktiv im Geschäftsverkehr.]
E-mail: [email protected]

3. Finalità e basi giuridiche del trattamento

AlpFlow tratta i dati personali per le seguenti finalità:

Esecuzione del contratto (art. 6 par. 1 lett. b GDPR): gestione account, autenticazione, esecuzione workflow, fatturazione.
Legittimo interesse (art. 6 par. 1 lett. f GDPR): audit di sicurezza (audit_logs), telemetria errori (error_logs), prevenzione frodi e abusi.
Obbligo di legge (art. 6 par. 1 lett. c GDPR): conservazione dati di fatturazione (DLgs 127/2018, 10 anni), registrazione orari di lavoro (DLgs 81/08).
Consenso (art. 6 par. 1 lett. a GDPR): funzionalità opzionali come Calendar-Sync, integrazione Email-Inbox, telemetria Sentry — solo se esplicitamente attivate.

4. Categorie di dati personali

AlpFlow tratta le seguenti categorie di dati:

Dati account: email, nome, telefono, password (hashata con bcrypt), ruolo, secret 2FA (cifrato).
Dati di audit: indirizzo IP, User-Agent, timestamp di login, azioni eseguite (salvati in audit_logs).
Dati workflow: attività create, note, decisioni, lead assegnati.
Dati di elaborazione IA: prompt e risposte da modelli IA. I contenuti personali vengono pseudonimizzati prima dell'invio a fornitori esterni (vedi sezione 6).
Dati di fatturazione: consumo token, eventi contabili, ID-sottoscrizione Stripe (i dati carta di credito sono custoditi direttamente da Stripe).

5. Destinatari e responsabili del trattamento (Sub-Processors)

AlpFlow si avvale dei seguenti fornitori terzi per il trattamento dei Suoi dati. Con ciascuno è in essere un contratto di nomina a Responsabile ai sensi dell'art. 28 GDPR. Per i trasferimenti extra-UE si applicano le Clausole Contrattuali Standard (SCC) o il EU-US Data Privacy Framework.

Fornitore	Scopo	Categorie di dati	Paese	Trasferimento	DPA
Anthropic, PBC	AI-Prompts (Claude-Modelle) für Workflow-Generation, Risk-Assessment-Auswertung, Email-Triage etc.	Pseudonymisierte Text-Snippets aus Meeting-Notes / User-Eingaben (Sec-Schritt 3/10 Pseudonymisierung); Token-Counts (Metering)	US	EU SCCs (Standard Contractual Clauses) + DPA mit Anthropic	Link
OpenAI, OpenAI Ireland Ltd (EU representative)	Alternativ-AI-Provider falls als Backup konfiguriert (ALPFLOW_AI_PROVIDER=openai). In Default-Config nicht aktiv.	Pseudonymisierte Text-Snippets, Token-Counts	US	EU SCCs	Link
Twilio Inc.	WhatsApp-Benachrichtigungen (Twilio Sandbox / Business API). Eskalations- und Reminder-Versand.	Mobilnummer (Empfänger), Nachrichten-Body	US	EU SCCs	Link
Hetzner Online GmbH	Server-Hosting (App-VPS, DB) im Rechenzentrum Falkenstein/Nürnberg.	Sämtliche AlpFlow-Daten (DB, Logs, Backups) at-rest	DE	—	Link
WorkOS Inc.	WorkOS-Inbox / Command / Autonomy Integration (optional, wenn WorkOS-Features genutzt werden).	User-Email, Tenant-ID, Inbox-Items	US	EU SCCs	Link
Zoho Corporation	CRM-Integration (optional, nur wenn der Tenant Zoho verknüpft hat).	Lead-Daten, Kontakt-Email/Phone, Termin-Daten	IN	EU SCCs	Link
Microsoft Corporation (Microsoft Graph)	Email-Inbox-Sync + Calendar-Sync via Microsoft 365 OAuth (optional, opt-in pro User).	Email-Inhalte (Subject/Body), Kalender-Einträge	US	EU SCCs + Microsoft Data Protection Addendum	Link
Google LLC (Google Calendar / OAuth)	Calendar-Sync via Google OAuth (optional, opt-in pro User).	Kalender-Einträge, OAuth-Refresh-Tokens	US	EU SCCs + EU-US Data Privacy Framework (zertifiziert)	Link
Functional Software, Inc. (Sentry)	Error-Tracking + strukturierte Logs (Sec-Schritt 10/11). Aktiv nur wenn ALPFLOW_SENTRY_DSN gesetzt ist.	Stack-Traces (PII-redacted via _before_send Hook), Request-Metadaten (Path/Method/Status — KEINE Bodies)	US	EU SCCs (oder GlitchTip self-hosted via EU-Server falls Operator das nutzt)	Link
Stripe Inc. (Stripe Payments)	Zahlungsabwicklung für Abonnements + Token-Käufe (optional, nur wenn STRIPE_API_KEY konfiguriert).	Tenant-ID, Subscription-Status, Zahlungs-Metadaten. KEINE Kartendaten — die liegen direkt bei Stripe.	US	EU SCCs + Stripe DPA	Link

6. Pseudonimizzazione presso i fornitori IA

Prima di inviare prompt ai fornitori IA (Anthropic, OpenAI), AlpFlow sostituisce automaticamente nomi, indirizzi email, numeri di telefono e codici fiscali con pseudonimi nel formato PERSON_a4b2c8e1. Le risposte vengono ri-tradotte prima della visualizzazione nell'app — per Lei è completamente trasparente. I fornitori IA non vedono mai dati personali in chiaro.

7. Trasferimenti extra-UE

I seguenti fornitori hanno sede al di fuori dello SEE. Per ogni trasferimento sono in essere garanzie adeguate ai sensi dell'art. 46 GDPR:

Anthropic, PBC (US) — Garanzia: EU SCCs (Standard Contractual Clauses) + DPA mit Anthropic.
OpenAI, OpenAI Ireland Ltd (EU representative) (US) — Garanzia: EU SCCs.
Twilio Inc. (US) — Garanzia: EU SCCs.
WorkOS Inc. (US) — Garanzia: EU SCCs.
Zoho Corporation (IN) — Garanzia: EU SCCs.
Microsoft Corporation (Microsoft Graph) (US) — Garanzia: EU SCCs + Microsoft Data Protection Addendum.
Google LLC (Google Calendar / OAuth) (US) — Garanzia: EU SCCs + EU-US Data Privacy Framework (zertifiziert).
Functional Software, Inc. (Sentry) (US) — Garanzia: EU SCCs (oder GlitchTip self-hosted via EU-Server falls Operator das nutzt).
Stripe Inc. (Stripe Payments) (US) — Garanzia: EU SCCs + Stripe DPA.

8. Durata della conservazione

AlpFlow conserva i dati solo per il tempo strettamente necessario (art. 5 par. 1 lett. e GDPR). Regole di retention:

audit_logs — 365 giorni, poi cancellazione automatica
api_usage_logs — 180 giorni
AI-DLQ + Notification-DLQ — 7 giorni
Dati di fatturazione — 10 anni (DLgs 127/2018)
Registrazione orari di lavoro — 10 anni (DLgs 81/08)
Sessioni — fino a 24 h dall'ultimo accesso
Dati account — fino a cancellazione esplicita da parte Sua (vedi sezione 9, Diritto alla cancellazione)

9. I Suoi diritti

In ogni momento Lei ha i seguenti diritti:

Accesso (art. 15): esportazione di tutti i Suoi dati in formato ZIP via POST /api/me/data-export (nell'app: Impostazioni → Esporta dati).
Rettifica (art. 16): modificare i dati profilo nell'app o scrivere a [email protected].
Cancellazione (art. 17): cancellare l'account via DELETE /api/me/account (nell'app: Impostazioni → Elimina account). I dati soggetti a obbligo di conservazione (fatturazione) saranno cancellati al termine del periodo.
Limitazione (art. 18): su richiesta alla email privacy.
Portabilità (art. 20): l'esportazione dati (art. 15) è in formato JSON leggibile da macchina.
Opposizione (art. 21): [email protected].

10. Diritto di reclamo

Lei ha il diritto di proporre reclamo presso l'Autorità di controllo competente:

Garante per la protezione dei dati personali
https://www.garanteprivacy.it

11. Cookie utilizzati

AlpFlow utilizza i seguenti cookie. Può revocare il consenso in qualsiasi momento tramite il banner o il link a piè di pagina „Impostazioni cookie".

Cookie	Categoria	Scopo	Durata
`alpflow_session`	Necessari	Autenticazione di sessione (token firmato).	24 ore
`session`	Necessari	Flask-Session per OAuth-State (login Microsoft / Google).	14 giorni
`csrf_token`	Necessari	Protezione CSRF (GDPR art. 32).	2 ore
`alpflow_consent`	Necessari	Memorizza la Sua scelta di consenso ai cookie.	365 giorni

Attualmente non utilizziamo cookie analitici o di marketing. Le categorie sono presenti nel banner come opt-in — qualora future funzionalità ne richiedessero, la scelta resta sotto il Suo controllo.

12. Contatti

Per qualsiasi domanda sulla privacy: [email protected]

Aggiornato il: 2026-05-17 · Privacy · Impressum