Privacy Policy

Ultimo aggiornamento: 27 marzo 2026

La presente informativa sulla privacy ("Informativa") è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e descrive come vengono raccolti, trattati e protetti i dati personali degli utenti della piattaforma Vicario.

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

Clemente Biondi Santi
Email: admin@vicarioai.com

2. Dati personali raccolti

2.1 Dati forniti direttamente dall'Utente

Categoria	Dati	Fonte
Dati identificativi	Nome, cognome, indirizzo email	Account Google (autenticazione)
Dati di contatto	ID chat Telegram, numero WhatsApp	Collegamento canale di messaggistica
Dati di pagamento	ID cliente Stripe, ID abbonamento	Sottoscrizione piano (i dati della carta sono gestiti esclusivamente da Stripe)

2.2 Dati generati dall'utilizzo del Servizio

Categoria	Dati	Conservazione
Conversazioni	Messaggi inviati dall'Utente e risposte dell'Agente	Container dedicato dell'Utente (volume Docker)
Memoria dell'Agente	Informazioni che l'Agente memorizza per personalizzare le risposte (preferenze, contesto)	Database SQLite nel container dell'Utente
Dati di utilizzo	Consumo giornaliero del budget computazionale, numero di chiamate al modello AI	Container dedicato dell'Utente
Log tecnici	Errori, eventi di sistema, timestamp delle richieste	Google Cloud Logging (senza contenuto dei messaggi)

2.3 Dati provenienti da servizi collegati

Quando l'Utente collega servizi di terze parti (Gmail, Google Calendar, Google Drive, Google Docs), l'Agente può accedere temporaneamente ai dati di tali servizi per eseguire le azioni richieste dall'Utente (es. leggere un'email, consultare il calendario, cercare un file). Questi dati:

Non vengono conservati dal Fornitore al di fuori del contesto della conversazione
Possono essere temporaneamente presenti nella memoria dell'Agente se l'Agente li ritiene utili per il contesto
Sono accessibili solo tramite token OAuth con i permessi specifici concessi dall'Utente
I token OAuth sono gestiti da Composio Technologies, Inc. (si veda la sezione 6)

3. Finalità e base giuridica del trattamento

Finalità	Base giuridica (Art. GDPR)	Dati trattati
Erogazione del Servizio (autenticazione, gestione account, comunicazione con l'Agente)	Esecuzione del contratto (Art. 6.1.b)	Dati identificativi, di contatto, conversazioni
Gestione abbonamento e fatturazione	Esecuzione del contratto (Art. 6.1.b)	Dati di pagamento (tramite Stripe)
Accesso ai servizi collegati dall'Utente	Consenso esplicito (Art. 6.1.a) — tramite autorizzazione OAuth	Dati dei servizi collegati (email, calendario, documenti)
Memorizzazione delle preferenze e del contesto	Esecuzione del contratto (Art. 6.1.b)	Memoria dell'Agente
Monitoraggio errori e stabilità del Servizio	Legittimo interesse (Art. 6.1.f)	Log tecnici (senza contenuto dei messaggi)
Adempimento di obblighi fiscali e legali	Obbligo legale (Art. 6.1.c)	Dati identificativi, dati di pagamento

4. Modalità di trattamento e conservazione

4.1 Architettura di isolamento

Ogni Utente dispone di un container Docker dedicato e isolato. I dati di conversazione, la memoria dell'Agente e le configurazioni sono conservati in un volume persistente accessibile esclusivamente dal container dell'Utente. Nessun altro utente o processo può accedere a tali dati.

4.2 Localizzazione dei dati

Dato	Dove è conservato	Localizzazione
Profilo utente (email, stato abbonamento)	Google Cloud Firestore	europe-west1 (Belgio, UE)
Conversazioni e memoria dell'Agente	Volume Docker su Google Compute Engine	europe-west1 (Belgio, UE)
Log tecnici	Google Cloud Logging	UE
Dati di pagamento	Stripe, Inc.	Irlanda (UE) / USA
Token OAuth dei servizi collegati	Composio Technologies, Inc.	USA (si veda sezione 6)
Monitoraggio errori	Sentry (Functional Software, Inc.)	USA (senza dati personali identificabili)

4.3 Periodi di conservazione

Conversazioni e memoria dell'Agente: conservati finché l'account è attivo. Cancellati entro 30 giorni dalla cancellazione dell'account.
Profilo utente: conservato finché l'account è attivo. Cancellato alla cancellazione dell'account, ad eccezione dei dati necessari per obblighi legali.
Dati fiscali: conservati per 10 anni dalla fine del rapporto contrattuale, come previsto dalla normativa fiscale italiana.
Log tecnici: conservati per un massimo di 90 giorni.

5. Trattamento dei dati da parte dei modelli di intelligenza artificiale

Le conversazioni tra l'Utente e l'Agente vengono elaborate da modelli di intelligenza artificiale generativa (LLM) forniti da Google LLC (attualmente: Gemini 3.1 Flash Lite).

Ciò comporta che il contenuto dei messaggi dell'Utente viene trasmesso ai server di Google per l'elaborazione. Google tratta tali dati in qualità di sub-responsabile del trattamento, nei termini previsti dal Data Processing Addendum di Google Cloud.

I messaggi inviati tramite l'API Gemini non vengono utilizzati da Google per addestrare i propri modelli, come specificato nei termini di servizio dell'API.

Il Fornitore si riserva di utilizzare provider LLM alternativi o aggiuntivi in futuro (es. Anthropic, OpenAI). L'elenco aggiornato dei provider è disponibile in questa sezione. L'Utente sarà notificato via email in caso di variazioni significative che impattino il trattamento dei dati.

6. Trasferimento dei dati extra-UE

Alcuni sub-responsabili del trattamento hanno sede al di fuori dell'Unione Europea:

Sub-responsabile	Sede	Garanzia per il trasferimento	Dati trasferiti
Google LLC	USA	Data Privacy Framework (DPF) / Standard Contractual Clauses	Contenuto messaggi (per elaborazione LLM)
Composio Technologies, Inc.	USA	Standard Contractual Clauses	Token OAuth dei servizi collegati
Stripe, Inc.	USA / Irlanda	Data Privacy Framework (DPF) / Standard Contractual Clauses	Dati di pagamento
Sentry (Functional Software, Inc.)	USA	Standard Contractual Clauses	Log errori (senza PII)

I trasferimenti extra-UE avvengono nel rispetto del Capo V del GDPR e sono supportati dalle garanzie indicate. L'Utente può richiedere copia delle clausole contrattuali standard applicabili contattando il Titolare.

7. Diritti dell'interessato

Ai sensi degli artt. 15-22 del GDPR, l'Utente ha il diritto di:

Accesso (Art. 15): ottenere conferma del trattamento e una copia dei dati personali trattati
Rettifica (Art. 16): correggere dati personali inesatti o incompleti
Cancellazione (Art. 17): richiedere la cancellazione dei dati personali ("diritto all'oblio")
Limitazione del trattamento (Art. 18): limitare il trattamento in determinate circostanze
Portabilità (Art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico
Opposizione (Art. 21): opporsi al trattamento basato sul legittimo interesse
Revoca del consenso (Art. 7.3): revocare il consenso prestato in qualsiasi momento (es. revocare l'autorizzazione OAuth a un servizio collegato)

Per esercitare i propri diritti, l'Utente può:

Inviare una richiesta a admin@vicarioai.com
Cancellare il proprio account dalla dashboard (che comporta la cancellazione di tutti i dati non soggetti a obblighi di legge)
Revocare le integrazioni OAuth dalla sezione "Integrazioni" della dashboard

Il Titolare risponderà alle richieste entro 30 giorni. In caso di complessità o elevato numero di richieste, il termine può essere esteso di ulteriori 60 giorni, previa comunicazione all'interessato.

8. Diritto di reclamo

L'Utente ha il diritto di proporre reclamo all'autorità di controllo competente. In Italia, l'autorità di controllo è il Garante per la Protezione dei Dati Personali:

Garante per la Protezione dei Dati Personali
Piazza Venezia 11, 00187 Roma
www.garanteprivacy.it
Email: protocollo@pec.gpdp.it

9. Cookie e tecnologie di tracciamento

L'applicazione web Vicario (app.vicarioai.com) utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio (autenticazione Firebase). Non vengono utilizzati cookie di profilazione, di tracciamento pubblicitario o di analytics di terze parti.

Un avviso informativo (cookie notice) è presente nella pagina di accesso al Servizio. Non è richiesto il consenso in quanto vengono utilizzati esclusivamente cookie tecnici.

10. Sicurezza

Il Fornitore adotta misure tecniche e organizzative adeguate per proteggere i dati personali, tra cui:

Isolamento dei dati per utente tramite container Docker dedicati
Crittografia in transito (HTTPS/TLS) per tutte le comunicazioni
Conservazione delle chiavi API e dei segreti in Google Secret Manager (crittografia at rest)
Autenticazione tramite Google OAuth 2.0 (nessuna password gestita dal Fornitore)
Regole di sicurezza Firestore che impediscono l'accesso ai dati di altri utenti
Sandbox dell'Agente con permessi limitati e comandi controllati

11. Minori

Il Servizio non è destinato a persone di età inferiore a 18 anni. Il Fornitore non raccoglie consapevolmente dati personali di minori. Se il Titolare dovesse venire a conoscenza di aver raccolto dati di un minore, provvederà alla cancellazione tempestiva.

12. Modifiche alla presente Informativa

Il Titolare si riserva il diritto di modificare la presente Informativa. Le modifiche saranno comunicate all'Utente tramite email o notifica nell'applicazione. La versione aggiornata sarà sempre disponibile all'indirizzo vicarioai.com/privacy.html.

13. Contatti

Per qualsiasi domanda relativa al trattamento dei dati personali, l'Utente può contattare il Titolare del trattamento all'indirizzo email: admin@vicarioai.com