Vai al contenuto

Legale

Privacy Policy

Versione 1.0 · Ultimo aggiornamento: 21 maggio 2026

1. Titolare del trattamento

Il titolare del trattamento dei dati personali raccolti tramite il servizio Neural Data Studio (il "Servizio") è:

  • CodeLab s.r.l.s.
  • Sede legale: Corso Giuseppe Garibaldi 22, 00034 Colleferro (RM), Italia
  • P.IVA: IT17925991006
  • Email per richieste privacy: support@neuraldatastudio.ai

CodeLab s.r.l.s. non ha nominato un Data Protection Officer (DPO) in quanto non rientra tra i casi di nomina obbligatoria previsti dall'art. 37 GDPR. Per qualsiasi questione relativa al trattamento dei dati personali è comunque sempre possibile scrivere all'indirizzo email indicato sopra.

2. Categorie di dati trattati

2.1 Dati di registrazione

Nome, indirizzo email, password (memorizzata sotto forma di hash bcrypt), eventuale provider OAuth (Google, Microsoft, GitHub, Apple).

2.2 Dati di profilo

Lingua, fuso orario, ruolo all'interno del tenant, preferenze di interfaccia.

2.3 Dati di utilizzo del Servizio

Cronologia delle query effettuate, prompt inviati al modello AI, SQL generato, esito di esecuzione, timestamp, consumo di token, piano in essere. Questi dati sono indispensabili per fornire la funzione di query history, la quota mensile e il rate limiting.

2.4 Credenziali di connessione ai tuoi database

Connection string e credenziali dei database che colleghi al Servizio: sono cifrate at-rest tramite AES-GCM con chiave gestita in Azure Key Vault e non vengono mai inviate al modello AI né condivise con terzi.

2.5 Dati di pagamento

I dati di carta di credito sono trattati esclusivamente da Stripe (vedi §6). Conserviamo solo l'identificativo cliente Stripe, il piano sottoscritto e la cronologia delle fatture.

2.6 Log tecnici e di sicurezza

Indirizzo IP, user-agent, timestamp delle richieste API, eventi di autenticazione, audit log delle operazioni effettuate sui dati. Servono per la sicurezza, l'individuazione di abusi e l'analisi diagnostica.

3. Finalità del trattamento e base giuridica

Finalità Base giuridica (GDPR)
Erogazione del Servizio, gestione account e abbonamenti Art. 6.1.b – esecuzione del contratto
Adempimenti fiscali e di legge (fatturazione, contabilità) Art. 6.1.c – obbligo legale
Sicurezza, prevenzione frodi, audit log Art. 6.1.f – legittimo interesse
Comunicazioni di servizio (email transazionali) Art. 6.1.b – esecuzione del contratto
Newsletter, materiali commerciali Art. 6.1.a – consenso (revocabile)

4. Conferimento dei dati

Il conferimento dei dati necessari alla registrazione e all'esecuzione del contratto è obbligatorio: senza tali dati non è possibile fornire il Servizio. Il conferimento per finalità commerciali è facoltativo e revocabile in qualsiasi momento.

5. Modalità del trattamento e sicurezza

Il trattamento avviene con strumenti elettronici per il tempo strettamente necessario alle finalità descritte. Adottiamo misure di sicurezza tecniche e organizzative adeguate, tra cui:

  • cifratura TLS 1.2+ su tutto il traffico applicativo;
  • cifratura at-rest del database di configurazione e delle credenziali utenti;
  • password memorizzate solo come hash bcrypt;
  • chiavi crittografiche gestite tramite Azure Key Vault con identità managed e accessi RBAC;
  • autenticazione JWT a vita breve, refresh token revocabili, supporto MFA;
  • audit log immutabili per tutte le operazioni sensibili;
  • backup automatici e procedure documentate di disaster recovery;
  • principio del minimo privilegio per il personale autorizzato.

6. Sub-responsabili del trattamento

Per erogare il Servizio ci avvaliamo dei seguenti fornitori, che agiscono come responsabili del trattamento ai sensi dell'art. 28 GDPR:

Fornitore Finalità Localizzazione
Microsoft Ireland Operations Ltd. (Azure) Hosting compute, database e segreti UE (West / North Europe)
Microsoft Ireland Operations Ltd. (Azure AI Foundry) Inferenza dei modelli AI per la generazione di query UE (Foundry region EU)
Stripe Payments Europe, Ltd. Elaborazione pagamenti, fatturazione, gestione abbonamenti Irlanda, con possibili trasferimenti a Stripe Inc. (USA) sotto SCC
Resend, Inc. Invio email transazionali (verifica account, ricevute, alert quota) USA, sotto SCC e Data Privacy Framework
Cloudflare, Inc. DNS, protezione anti-abuso, gestione zona Globale, sotto SCC e Data Privacy Framework
Aruba S.p.A. Caselle email aziendali (support, sales) Italia

L'elenco è aggiornato alla data di pubblicazione di questa policy. Possiamo aggiungere o sostituire sub-responsabili comunicandolo via email o tramite la versione aggiornata di questa pagina con almeno 30 giorni di preavviso per consentire eventuali obiezioni motivate.

7. Trasferimenti extra-UE

Quando un sub-responsabile tratta dati al di fuori dello Spazio Economico Europeo, il trasferimento avviene esclusivamente sulla base di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea e, ove applicabili, delle certificazioni dei programmi EU-US Data Privacy Framework. CodeLab s.r.l.s. verifica periodicamente l'idoneità di tali garanzie.

8. Trattamento dei dati dei tuoi database

I database che colleghi al Servizio contengono i tuoi dati ("Dati del Cliente"). CodeLab s.r.l.s. agisce come responsabile del trattamento rispetto a tali dati: li tratta esclusivamente per eseguire le query da te avviate, restituirti i risultati e generare le risposte dell'assistente AI.

  • Le credenziali di connessione sono cifrate at-rest e non vengono mai inviate al modello AI.
  • Lo schema dei database (nomi tabelle, colonne, tipi) viene letto e inviato al modello AI per generare SQL coerente con la tua struttura.
  • Le righe restituite dalle query restano nel tuo browser e, se la conversazione viene salvata, anche nel nostro storage; non vengono mai inoltrate al modello AI a meno che tu non le includa esplicitamente in un prompt successivo.
  • Le query approvate dall'utente vengono eseguite sui database collegati: l'utente è responsabile dei loro effetti.

9. Conservazione e cancellazione

  • Account attivo: i dati sono conservati per tutta la durata del rapporto.
  • Cancellazione account: i dati identificativi e le connessioni utente vengono messi in soft-delete per 30 giorni (per consentire ripristino o esportazione su richiesta) e successivamente cancellati in modo permanente dai sistemi di produzione.
  • Log tecnici e di sicurezza aggregati: conservati fino a 24 mesi per finalità di sicurezza, audit e individuazione abusi.
  • Dati fiscali e contabili: conservati per 10 anni ai sensi della normativa italiana.
  • Backup: i backup criptati con ciclo di rotazione massimo 35 giorni; trascorso il ciclo, i dati cancellati spariscono anche dai backup.

10. I tuoi diritti

In qualsiasi momento puoi esercitare i seguenti diritti, riconosciuti dagli artt. 15-22 del GDPR:

  • accesso ai tuoi dati personali (art. 15);
  • rettifica dei dati inesatti (art. 16);
  • cancellazione (art. 17 – "diritto all'oblio");
  • limitazione del trattamento (art. 18);
  • portabilità dei dati in formato strutturato (art. 20);
  • opposizione al trattamento basato su legittimo interesse (art. 21);
  • non essere sottoposto a decisioni automatizzate con effetti significativi (art. 22);
  • revoca del consenso ai trattamenti basati su consenso, senza pregiudicare la liceità del trattamento precedente.

Per esercitare questi diritti scrivi a support@neuraldatastudio.ai dall'indirizzo email associato all'account. Risponderemo entro 30 giorni, prorogabili di altri 60 in caso di richieste complesse.

Hai sempre diritto a presentare reclamo al Garante per la Protezione dei Dati Personali (Piazza Venezia 11, 00187 Roma – www.garanteprivacy.it).

11. Cookie e tecnologie simili

Il sito e l'applicazione utilizzano esclusivamente cookie tecnici e di sessione strettamente necessari al funzionamento del Servizio (autenticazione, preferenze di tema, mantenimento della sessione utente). Non utilizziamo cookie di profilazione né di terze parti a fini pubblicitari.

Al primo accesso ti mostriamo comunque un banner informativo con la possibilità di esprimere preferenze granulari (essenziali, sempre attivi, e analytics, opzionali). Allo stato attuale non sono attivi provider di analytics; la categoria è predisposta e, qualora venisse abilitata in futuro, opererebbe solo previo tuo consenso esplicito. Puoi rivedere le preferenze in qualsiasi momento dal link "Preferenze cookie" nel footer del sito.

Stripe può rilasciare cookie tecnici durante il flusso di pagamento; tali cookie sono limitati al dominio di Stripe e regolati dalla sua privacy policy.

12. Trattamenti automatizzati

Il Servizio impiega modelli di intelligenza artificiale per generare SQL/MQL a partire da prompt in linguaggio naturale. Questi modelli non producono decisioni con effetti giuridici o ugualmente significativi nei tuoi confronti: tu mantieni sempre il controllo finale, approvando manualmente ogni operazione di scrittura o DDL prima dell'esecuzione.

13. Minori

Il Servizio non è rivolto a minori di 18 anni. Non raccogliamo intenzionalmente dati personali di minori; qualora venissimo a conoscenza di un account creato da un minore, procederemo alla cancellazione immediata.

14. Modifiche alla policy

Possiamo aggiornare la presente Privacy Policy in caso di modifiche al Servizio, alla normativa o all'elenco dei sub-responsabili. La data e il numero di versione in testa alla pagina indicano sempre l'ultima revisione. In caso di modifiche sostanziali invieremo una notifica all'indirizzo email associato all'account.

15. Contatti

Per qualsiasi domanda sul trattamento dei tuoi dati personali scrivici a support@neuraldatastudio.ai oppure all'indirizzo postale CodeLab s.r.l.s., Corso Giuseppe Garibaldi 22, 00034 Colleferro (RM), Italia.

Preferenze cookie

Gestisci le categorie di cookie consentite. Le scelte sono salvate sul tuo dispositivo per 12 mesi.